- 博客(47)
- 收藏
- 关注
RSS订阅原创 复现XSS漏洞及分析
XSS漏洞概述:跨站脚本攻击XSS(Cross Site Scripting),为区别层叠样式表(Cascading Style Sheets, CSS),所以改写为XSS类型一:反射型特点:1、非持久型,不保存到正常服务器的数据库中2、反射型XSS的被攻击对象是特定的,使用含有反射型XSS的特制URL案例一:类型二:存储型特点:1、持久型,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。
2023-09-10 23:34:59
1074
原创 Wireshark流量分析例题
WireShark的使用WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。WireShark是开源软件,可以放心使用。可以运行在Windows和Mac OS上WireShark软件安装软件下载路径:https://www.wireshark.org/download.html。按照系统版本选择下载,下载完成后,按照软件提示一路Next安装。
2023-09-01 19:19:54
1520
原创 vscode远程调试PHP代码
3,点击下面电脑小图标和ssh添加需要连接远程主机,我的vscode会在最上面显示需要连接的操作系统(这里看你们自己电脑提示),如果连接不成功我是在页面最上面提示第一个config里面添加主机名然后连接成功的。然后进入你下载PHP时自带的php.ini,我的路径在/etc/php/8.1/fpm/php.ini。4.在linux的/var/www/html 目录下创建web.php文件,在浏览器访问查看源码在。先进入/etc/php/8.1/fpm/conf.d/99-xdebug.ini。
2023-08-26 17:25:16
271
原创 wazuh环境配置及漏洞复现
6 .开启小皮Apache,输入ip进行访问,我在Microsoft不能访问,所以用的Firefox进行访问成功,然后登录wazuh,用户名和密码默认为admin。在Nginx目录下/var/www/html创建index.php并写入案例。嘿伙计,传个火,点支烟,快活人生?3.上面会有提示:账号为,wazuh-user;4,将网络连接模式更改为NAT,否则不能连上网。5.重启网络,查看ip 连接xshell。die("诶,被我发现了吧");die("只要好看的php");1.进入官网下载OVA启动软件。
2023-08-23 23:45:14
608
原创 如何构造不包含字母和数字的webshell
在PHP中,两个变量进行异或时,先会将字符串转换成ASCII值,再将ASCII值转换成二进制再进行异或,异或完,又将结果从二进制转换成了ASCII值,再将ASCII值转换成字符串。我们希望使用这种后门创建一些可以绕过检测的并且对我们有用的字符串,如_POST"\, "system"\, "call_user_func_array",或者是任何我们需要的东西。也就是说,'a'++ => 'b','b'++ => 'c'... 所以,我们只要能拿到一个变量,其值为a,通过自增操作即可获得a-z中所有字符。
2023-08-20 01:05:17
425
原创 安装docker和案例复现
Payload: http://your-ip:8080/%0d%0aSet-Cookie:%20a=1,可注入Set-Cookie头。drwxr-xr-x. 5 root root 159 7月 29 01:38 insecure-configuration。drwxr-xr-x. 4 root root 121 7月 29 01:38 CVE-2013-4547。drwxr-xr-x. 2 root root 97 7月 29 01:38 CVE-2017-7529。
2023-08-11 22:39:29
260
原创 复现原型链污染
原型链污染是什么第一章中说到,foo.__proto__指向的是Foo类的prototype。那么,如果我们修改了foo.__proto__中的值,是不是就可以修改Foo类呢?做个简单的实验:// foo是一个简单的JavaScript对象// foo.bar 此时为1// 修改foo的原型(即Object)// 由于查找顺序的原因,foo.bar仍然是1// 此时再用Object创建一个空的zoo对象// 查看zoo.bar。
2023-08-07 01:35:32
128
原创 this关键字和同步异步宏认为微任务理解
总结一下,JavaScript 语言之中,一切皆对象,运行环境也是对象,所以函数都是在某个对象之中运行,this就是函数运行时所在的对象(环境)。这本来并不会让用户糊涂,但是 JavaScript 支持运行环境动态切换,也就是说,this的指向是动态的,没有办法事先确定到底指向哪个对象,这才是最让初学者感到困惑的地方。总结一下,JavaScript 语言之中,一切皆对象,运行环境也是对象,所以函数都是在某个对象之中运行,this就是函数运行时所在的对象(环境)。上面代码中,m是多层对象内部的一个方法。
2023-08-07 01:26:34
76
原创 web条件语句
ps:每个case代码块内部的break语句不能少,否则会接下去执行下一个case代码块, 而不是跳出switch结构。d for语句的三个表达式,可以省略任何一个,也可以全部省略。b 布尔表达式:每轮循环开始时,都要执行这个条件表达式,只有值为真,才继续进行循环。2 continue语句用于立即终止本轮循环,返回循环结构的头部,开始下一轮循环。a 初始化表达式:确定循环变量的初始值,只在循环开始时执行一次。c 迭代因子:每轮循环的最后一个操作,通常用来递增循环变量。// 满足条件时,执行的语句。
2023-07-15 00:03:20
184
原创 web笔记6
box2.classList.toggle('box1') //切换:有则删除,没有则添加。document.querySelectorAll将所有匹配的元素全部获取到,并存放到伪数组。// box2.classList.remove('box1') 移除。函数要有返回值,一定要添加return关键字,否则返回值为undefined。3、通过添加类名 calssName会将原来的类名删除掉,不建议使用。// classlist.add('类名')追加。函数必须进行调用,才会执行。
2023-07-14 00:10:43
58
原创 web笔记4
<a>Redmi 红米</a></li><li class="copy"><a>智能硬件</a></li><li class="copy"><a>笔记本</a></li><li class="copy"><a>路由器</a></li><li class="copy"><a>电视</a></li><li class="copy"><a>家电</a>
2023-07-11 00:42:18
55
原创 web笔记作业2
valign=”top/middle/bottom” 垂直对齐方式,顶部,居中,底部对齐方式。(说明:valign只能用在和标记中,不可以用在标记中)align=”left/center/right” 设置水平对齐方式,左中右对齐方式。cellspacing=”” 表格中行列之间的空隙(0~xx)2)用在开始标记中,设置该行的内容左中右对齐。colspan=”” 跨列 数字,数字表示跨几列。表格中的属性:border=”” 给表格加上一个边框。
2023-07-07 23:31:16
54
原创 web前端笔记整理1
align :设置图文对齐方式,可取left、right、top、bottom、middle。图片标签:<img src="" alt="" title="" width="">Width和 height :设定图像的宽度和高度。alt :设置在图像未载入前图片位置显示的文字。标题标签:h1-h6 独占一行,越来越小。超:超链接,能从一个网页跳转到另外一个网页。换行和水平线标签:<br/><hr/>文本格式化标签:加粗,倾斜。无语义标签:<div><span>段落标签:<p></p>
2023-07-07 23:29:32
57
原创 路由策略实验
此时会产生环回,破环要使R3重发布后,选择右边的OSPF协议。就要修改R3入口处7.7.7.0网段的RIP的优先级,做如下配置。R1到R3环回是一条3.3.3.0 /24(R3发直连路由到RIP)和一条3.3.3.0 /32(OSPF)在两个协议之间进行多点双向重发布并且在R2上将OSPF协议发布到RIP中。此时34网段没有负载均衡了,同理,在R3上去掉23网段的负载均衡。2、R7的环回没有宣告在OSPF协议中,而是后期重发布进入的。首先,配置上所有IP地址,配置OSPF、RIP路由策略。
2023-04-02 01:45:19
61
原创 hcip笔记整理
r2-acl-basic-2000]rule deny source 34.0.0.0 0.0.0.0 ------过滤列表本身没有过滤能力,所以,[r2-acl-basic-2000]rule permit source any -----注意,在抓取流量的时候,末尾一定要放通所有。[r2-rip-1]import-route ospf 1 cost 10 -----修改特定路由的种子度量值。若边界路由器进行A--->B的重发布以及直连--->B的重发布,并且两次包含相同的路由信息,则将会。
2023-04-02 00:55:50
473
原创 OSPF实验
将172.16.0.0/16的网段进行子网划分,将该网段划分为8个网段,取其中6个作为我们实验所使用的IP地址,剩下的2个IP地址作为我们的备份网段,方便以后该网络拓扑结构发生变化,需要增加设备,来所留的备用网段。每个网段在进行子网划分,分为P2P网络需要所使用的IP地址,和MA网络所使用的IP地址,及环回地址所使用的IP地址。3、P2P网络类型当中只有两台设备,因此可以使用/30的网段,而在实际当中MA网络类型当中有可能存在多台路由器使用一个网段,因此将MA网络当中网段划分为/29的网段更加合理。
2023-03-28 17:56:45
359
原创 hcip笔记整理
该区域将拒绝学习域外路由信息,但是,其依然具有访问域外路由的需求,所以,由该区域。该区域将拒绝学习域外路由信息,但是,其依然具有访问域外路由的需求,所以,由该区域。不同,所以,在路由导入之后,将直接舍弃原本的开销值,之后给路由赋予一个规定值。,校验和不变,老化时间不变的方式撤销,当需要撤销的三类。,校验和不变,老化时间不变的方式撤销,当需要撤销的三类。如果将一个区域配置成非末梢区域,则这个区域将不再学习。汇总网段的开销值等于所有明细路由开销值中的最大值。该区域依然需要将域外路由信息导入,但因为该区域拒绝。
2023-03-27 21:34:37
277
原创 hcip笔记小结
server-aaa-author-huawei]authorization-mode local ----设置该方案的授权方法。//修改OSPF接口的DR优先级。[r1-ospf-1]bandwidth-reference 1000 //修改参考带宽-----所有设备均需修改。[r1-Tunnel0/0/0]nhrp redirect //在hub设备上配置----使能nhrp重定向报文。loading------加载状态-----邻居间使用LSR/LSU/LSAck三种报文来获取完整的TOPO信息。
2023-03-16 16:38:28
424
原创 MGRE综合实验作业
第五步搭建MGRE环境基于192.168.5.0网段,在r1上创建中心站点,开启伪广播,其他路由器当作分支站点,加入r1中心域,配置Tunnel接口的隧道协议为GRE、配置Tunnel的源地址,目的地址。第四步r3和r5之间使用HDLC封装,更改串线协议,注意r3和r5都要更改,否则协议对不上,导致失败。第三步进行r1的pap认证,r2的chap认证,此时注意双方的用户名和密码配置要一样的。1,R5为ISP,,只能进行IP地址配置;2,R1和R5间使用ppp的PAP认证,R5为主认证方;
2023-03-12 00:24:50
166
原创 hcip笔记
私网IP地址可以重复使用,但是在私网内部需要保证唯一性。满足工业标准的HDLC协议-----ISO组织(IBM公司---SDLC----是一种面向比特的同步数据链路控制协。NCP协议-----网络控制协议------是一系列协议的总称,完成PPP会话建立第三阶段时针对网络层协议进行。以太网协议----源MAC地址:00-16-D3-23-68-8A 目的MAC:FFFF-FFFF-FFFF。以太网协议---源MAC:00-16-D3-23-68-8A 目标MAC:FFFF-FFFF-FFFF。
2023-03-06 23:56:58
178
原创 ansible基础4
1.按照要求定义以下变量。(可以在多个位置下定义实现相应操作即可) | 变量名 | 值 | | --------- | ------- | | file_name | newfile | | user_name | devops | | pk_name | httpd |2.编写任务模块在node1和node2主机中根据以上变量值创建对应文本文件以及用户名和安装软件包。3.使用vars.file文件定义变量。1.使用命令行定义变量。
2023-01-09 01:54:13
51
原创 ansible基础3
主机列表配置文件写入两台主机server1,server2。3.配置成功后安装http软件包(多种方法实现)2.配置yum源仓库文件通过多种方式实现。均可安装HTTPD服务,配置成功。不需要验证钦件包 GPG 签名。不需要验证软件包 GPG 签名。1.挂载本地光盘到/mnt。重新创建新的配置文件。
2023-01-09 01:46:38
63
原创 ansible基础2
redhat ALL=(ALL) NOPASSWD: ALL //授权redhat用户在所有计算机上以所有用户身份免密执行所有命令。remote_user=redhat //要在受管主机上登录的用户名称,没有指定则是当前用户。become=True //连接后是否在受管主机上切换用户,默认会切换到root下。inventory=/etc/ansible/hosts //主机列表配置文件。become_user=root //受管主机切换到的哪个用户。sudo_user=root //默认的sudo用户。
2023-01-09 01:34:34
61
原创 ansible基础1
1.控制主机和受控主机通过root用户通过免密验证方式远程控住受控主机实施对应(普通命令,特权命令)任务。2..控制主机连接受控主机通过普通用户以免密验证远程控住受控主机实施指定(普通命令,特权命令)任务操作。zx ALL=(ALL) NOPASSWD: ALL //添加部分。# ssh-copy-id -i node1 //发送密钥。此时会报错,因为受控主机中没有该普通用户的权限。配置ansible学习环境实现以下要求。普通用户的免密登陆实现。
2023-01-09 01:32:46
58
原创 openlab搭建web网站
2.给该公司创建的三个子页面分别显示学生信息,教学资料和缴费网站,基于www.openlab.com/stdent网站访问学生信息,www.openlab.com/data网站访问教学资料,www.openlab.com/money网站访问缴费网站。#更改配置文件 (虚拟主机标签的示例参考文件:/usr/share/doc/httpd/httpd-vhosts.conf)#别名 /data 实际路径 /www/openlab/data。#利用本机的/etc/hosts文件做域名解析。
2022-11-01 17:33:24
161
原创 搭建简单的web服务器
2要求搭建web服务器,创建基于域名的虚拟主机,能够使用www.xiaopang.com和 www.dapang.com访问各自的网站网站存放路径分别为/xiaopang和/dapang,内容自定。然后重启一下httpd,由于还没学习到dns服务器,这里修改hosts文件代替。1.要求搭建web服务器,能够访问到网页内容为“小胖,你咋这么胖呢!配置完成之后,需要创建一下我们配置的目录,并且给目录中的文件添加内容。然后编辑httpd目录下的conf.d目录中的文件。然后重启一下http。
2022-10-26 19:33:07
505
原创 在当前主机添加两块网卡,将两块网卡绑定实现网卡冗余操作
可以看到此时active的为另外一个从设备,确保每块网卡基于主机都能实现网络通信,实现网卡冗余。创建team0设备和team0会话 并设置类型为activebackup。添加设备到team0。
2022-10-18 15:37:32
833
原创 python的环境搭建安装
官网:http://www.python.org1. 双击安装包,出现如下的开始安装界面,选择自定义安装选项:2. 选项设置,默认全部勾选3. 高级配置选项,如图勾选4. 直接等待安装5. 安装完成,最后的结束界面中,点击 disable path length limit,禁用系统的 Path 长度自动限制,能给我们避免很多的麻烦安装后的错误答疑1.cmd打开在安装之前 首先关闭cmd,再次重新打开,再试,如果可以了,那就说明cmd打开后安装的...
2022-01-08 21:53:54
465
原创 HCLE网络安全13
NAT在IP地址空间中,A,B,C三类单播地址中,各有一部分地址,他们被称为私有地址(或私网IP地址),其余的都称为公有地址(公网IP地址)。A:10.0.0.0 - 10.255.255.255 --- 相当于一个A类的网段B:172.16.0.0 - 172.31.255.255 --- 相当于16个B类的网段C:192.168.0.0 - 192.168.255.255 --- 相当于256个C类的网段私网IP地址具有 ---- 可复用性 ---- 不允许私网IP地址在互联网使用我们习惯将
2021-12-28 18:11:31
225
原创 HCLE网络安全12
VLANV --- 虚拟的LAN --- 局域网 --- 地理覆盖范围较小的网络MAN --- 城域网WAN --- 广域网LAN --- 广播域VLAN --- 虚拟局域网 --- 交换机和路由器协同工作后,将原来的一个广播域逻辑上切分为多个第一步:创建VLAN[Huawei]display vlan --- 查看交换机上的VLAN信息VID --- vlan ID --- 区分和标定不同VLAN ---- IEEE组织802.1Q标准 --- 12位二进制构成 --- 0 - 4095
2021-12-28 18:07:48
226
原创 HCLE网络安全11
ACL ---- 访问控制列表ACL的作用:1,访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作。 ---- permit 允许 , deny 拒绝2,抓取感兴趣流:ACL可以和其他服务结合使用。ACL只负责匹配流量,其他服务则对匹配上的流量执行对应的动作。ACL的匹配规则:自上而下,逐一匹配,如果匹配上,则按照对应的动作执行,不再向下匹配。思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则华为体系的设备:在ACL列表末尾隐含一条允许所有的规则ACL列表的分类
2021-12-28 18:01:30
309
原创 HCLE网络安全10
OSPF的基本配置1)启动OSPF进程[r1]ospf 1 router-id 1.1.1.1 ---- 1 --- 进程号,仅具有本地意义。[r1-ospf-1]2,创建区域[r1-ospf-1]area 0[r1-ospf-1-area-0.0.0.0]3,宣告[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 --- 反掩码 --- 由连续的0和连续的1组成,0带表不可变,1代表可变[r1]display ospf peer --- 查
2021-12-28 17:59:26
198
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人