- 博客(49)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 docker复现Nginx配置漏洞
原本的目的是想用户输入/files会跳转到/home目录下,但是/files并没有以"/"结尾,所以我们可以输入/files../,此时/files匹配上了,替换为/home/..,造成目录穿越。但是$uri参数是不包含查询参数的,于是当我们在url中输入%0d%0a时,$uri参数不会将回车换行符传入,这就导致用户可以控制http响应头部。修复方法:将/files改为/files/,这样就算输入/files../也不会匹配上/files/修复方法:删除子块中的add_header参数,或者添加到父块中。
2023-08-11 19:19:57
1045
原创 awk实例
的 BEGIN 块。这里的意思是在处理输入之前,将输出字段分隔符 (OFS) 设置为制表符(\t)。的内置函数,用于打印当前处理的行。因此,这个命令将打印经过处理后的行,其中字段之间只有一个空格,多余的空格已被删除。对输入行进行重新格式化,去除多余的空格,并将字段之间的空格调整为单个空格。的内置函数,用于打印当前处理的行。:这是一个管道操作符,用于将前一个命令的输出作为后一个命令的输入。语句在循环内部,用于打印每行数据(该行不是新的段落开始的行)。表示当前处理的行的第二个字段(使用空格分隔的字段),即。
2023-08-05 12:06:55
365
原创 Race竞争型漏洞
竞争型漏洞(Race Condition Vulnerability)是一种存在于并发编程中的安全漏洞。它通常发生在多个线程或进程同时访问和修改共享资源时,由于执行顺序的不确定性而导致意外的结果。多个线程或进程同时开始访问一个共享资源,例如一个变量或一个文件。这些线程或进程可能会按照不同的顺序执行操作,比如读取、写入或修改资源。如果操作的顺序不正确,就会导致不一致的状态或错误结果。举个例子来说明竞争型漏洞的风险。
2023-08-02 20:11:55
762
原创 【无标题】
CIA是信息安全领域中常用的概念,指的是保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)、认证性(Authenticity)、不可抵赖性(Non-repudiation)。通过综合考虑这些原则,并采取适当的措施和技术,可以保护信息免受未经授权的访问、篡改、损坏和抵赖等威胁,确保信息的安全性和可信度。总结来说,iFrame是一种在网页中嵌入其他网页或文档的技术,它提供了一种灵活的方式来整合不同来源的内容,并且可以实现页面之间的互动和通信。
2023-07-26 14:47:25
251
原创 网安第二天笔记
ssh 22端口 账号密码登陆、证书登录smtp 25端口 邮件协议DNS 53DHCP 67 68端口 四个包1.DHCP服务器:服务器管理IP地址池和配置参数2.客户端请求:发送DHCP广播请求,discover消息3.DHCP服务器回应:收到discover会回复offer信息(包含可用IP和配置信息)4.客户端选择:收到多个offer后,选择其中一个将offer的源地址发给服务器(request消息)
2023-07-24 19:26:06
168
原创 NoSQL练习-MongoDB
2. 数据库中创建一个集合名字 class。查看年龄在 4---8岁之间的学生信息。删除所有 年级大于12或者小于4岁的学生。1. 创建一个数据库 名字grade。找到年龄小于7岁或者大于10岁的学生。将学生按年龄排序找到年龄最大的三个。查看班级中年龄为8岁的学生信息。找到年龄是8岁或者11岁的学生。找到既喜欢画画又喜欢跳舞的学生。MongoDB 基本操作作业。查看年龄大于10岁的学生信息。找到年龄为6岁且为男生的学生。找到兴趣爱好有draw的学生。找到兴趣爱好有两项的学生。找出本班年龄第二大的学生。
2023-07-16 15:31:22
309
原创 MySQL视图例题
视图提供了一个抽象层,隐藏了底层表的复杂性,并提供了更简洁、易于理解的查询接口。当涉及到数据库中的视图时,它是一个虚拟的表,是由一个或多个基本表的结果集构成的。更新视图的条件包括视图必须基于单个表、视图必须具有唯一的行标识、视图不能包含聚合函数或。请注意,在执行上述语句之前,请确保已经连接到正确的MySQL数据库,并具有足够的权限来执行这些操作。视图的定义由一个SELECT语句构成,该SELECT语句指定了视图的列和数据来源。1、创建一视图 stu_info,查询全体学生的姓名,性别,课程名,成绩。
2023-07-13 13:27:23
552
原创 MySQL索引例题
唯一性索引确保在列中的每个值都是唯一的,即不允许重复值。唯一性索引的好处是,当我们需要根据商品名称进行查询或者确保商品名称不重复时,查询效率会得到提升。然而,添加索引也会对数据库的写操作(插入、更新、删除)产生一定的性能开销,因为数据库需要维护索引的数据结构。需要注意的是,如果表中已经存在重复的商品名称,则添加唯一性索引时会失败,并且会返回一个错误。6、在 click_count 上增加普通索引,然后再删除 (分别使用drop index和alter table删除)类型的列,用于存储商品名称。
2023-07-13 12:14:26
795
原创 MySQL备份与还原
总结: 备份和还原是MySQL数据库管理中至关重要的操作。在执行备份和还原操作之前,请确保理解操作的影响并遵循最佳实践,如定期备份、测试还原过程以及保护备份文件的安全性。物理备份:物理备份是直接复制数据库文件的方式进行备份。导入物理备份:如果使用物理备份进行了数据库的完整复制,可以将复制的数据库文件直接放回MySQL服务器的相应位置,然后启动数据库服务器即可完成还原。使用mysqldump命令备份:mysqldump是MySQL提供的一个用于备份数据库的命令行工具。中的数据导入到指定的数据库中。
2023-07-12 16:21:30
129
原创 MySQL存储过程
你需要提供函数的名称以及任何必要的参数信息(如果有的话)。,类型为整数,用于存储查询结果。它没有参数,返回类型为整数 (在函数体内部,我们声明了一个变量。表中的记录数,并将结果存储到。要删除一个存储函数,可以使用。
2023-07-12 08:53:56
827
原创 Attack
网络踩点获取目标公开信息网络扫描技术获取目标系统更具体信息,网络扫描具有主动性和时限性。tcp连接扫描,全连接扫描tcp同步序列号扫描,半连接扫描tcp结束标志扫描,隐蔽扫描
2023-07-11 20:59:34
258
原创 MySQL多表查询练习
- 给emp3表添加数据 insert into emp3 values('1','乔峰',20, '1001');insert into emp3 values('2','段誉',21, '1001');insert into emp3 values('3','虚竹',23, '1001');insert into emp3 values('4','阿紫',18, '1001');insert into emp3 values('5','扫地僧',85, '1002');1、查询每个部门的所属员工。
2023-07-09 18:17:01
187
原创 MySQL基础练习
INSERT INTO `emp` VALUES (1004, '刘备', '经理', 1009, '2001-04-02', 29750, NULL, 20);INSERT INTO `emp` VALUES (1006, '关羽', '经理', 1009, '2001-05-01', 28500, NULL, 30);INSERT INTO `emp` VALUES (1007, '张飞', '经理', 1009, '2001-09-01', 24500, NULL, 10);
2023-07-08 20:48:12
312
原创 MySQL基操例题
补充:插入到表第一行:alter table 表名 modify column 字段名 数据类型 first;alter table 表名 modify column 字段一名字 字段类型 after 字段名二;alter table 表名 modify column 字段名 修改后的类型;alter table 表名 change 原名 修改后的名字 修改后的字段名;alter table 表名 add 新增字段名 字段类型 约束;alter table 表名 rename 新表名;
2023-07-07 18:04:23
233
原创 bbs.example.com 主机上创建 Discuz 论坛,数据库服务器使用 db.example.com 主机的 bbs 数据库实例,该实例由 MySQL数据库软件提供服务
主机上的 MySQL 数据库实例来存储数据。确保在配置时使用实际的主机名、数据库用户名和密码进行替换。访问 Discuz 论坛了。,并为其创建一个新的用户并授予访问权限。创建一个新的数据库实例。
2023-06-04 17:44:21
320
原创 shell第一次作业
思路:使用一个关联数组来统计指定目录中每种扩展名的文件数量。脚本遍历指定目录下的所有文件,并对每个文件进行检查,如果它是一个普通文件,则获取它的扩展名,并将扩展名作为关联数组的键,递增其值。脚本将每个shell类型作为关联数组的键,并递增其值。最后,脚本遍历关联数组,并打印每个shell类型和相应的数量。文件的每一行,然后将行按照冒号分隔符分成多个字段。其中,第七个字段是用户的登录shell。然后,脚本遍历关联数组,并打印每种扩展名和相应的文件数量。最后,脚本遍历数组并打印每个元素。
2023-04-08 20:35:53
197
原创 MySQL最基本语句
修改students表name的字符类型或者长度。查看students表所有数据。创建STUDENTS表 有ID NAME列。查看students表结构。
2022-12-30 16:52:07
101
原创 图形化软件远程登录MySQL数据库
5、 数据库服务器的密码 (即alter user root@localhost identified by '2、 主机地址 ip/主机名(MySQL服务器IP地址)4、 数据库服务器的用户名(默认root)3、 端口 (默认3306)然后查看防火墙状态 放行MySQL服务防火墙。1、 会话名称(随便起)首先在MySQL服务端配置。
2022-12-29 15:25:08
202
原创 安装Ansible
用student身份登录workstationlab intro-install start 启动控制节点sudo yum install ansibleansible --version 验证是否安装成功 也可在第一步查看通过setup模块验证localhost上的ansible_python_versionansible -m setup localhost | grep ansible_python_version完成:运行lab intro-install finish脚本来
2022-05-18 09:39:55
231
原创 Ansible294一
基础命令:rht-vmctl ......用于控制虚机rht-vmctl fullreset all 重置/还原快照rht-vmctl status classroom classroom状态 必须是通电状态virt-manager 手动管理启动rht-vmctl stvatus all/servera/b/c/d 启动服务(虚机)rht-setcourse rh294 设置课程rht-verify-f0 检查环境是否正常概念理论:ansible playbook 自动化
2022-05-18 09:30:46
192
原创 基于python的动态虚拟主机
dnf install python3-mod_wsgi -y 先装包vim /var/www/cgi-bin/hello.wsgi定义函数vim vhost.conf 配置文件systemctl restar httpd
2022-03-31 17:46:55
2086
原创 基于用户认证的虚拟主机
htpasswd -c /etc/httpd/zhanghao abc 创建账号htpasswd /etc/httpd/zhanghao tom 再创一个cat /etc/httpd/zhanghao 查看一下文件mkdir /user/local/mysecret/echo This is mysecreat > /user/local/mysecret/index.htmlcd /etc/httpd/conf.d/vim vhost.confsystem..
2022-03-31 17:29:27
65
原创 不同主机名配置文件
启用虚拟机cd /etc/httpd/conf.d/vim vhost.conf 进入配置文件cd /www 进入www文件mkdir haha 创建haha文件mkdir xixi 创建xixi文件echo welcome to haha > haha/index.html 写内容echo welcome to xixi > xixi/index.htmlfirewall-cmd --list-all 放行防火墙gentenforcesetenfor
2022-03-31 16:59:58
1487
原创 虚拟机创建虚拟主机
基于不同IP配置文件:root模式进入配置文件(配置文件名无所谓,后缀一定要是.conf)‘<directory>是给权限 documentroot 是给目录文件配置好过后加一个ip,并且up服务每次配置文件发生变化后要重启一下服务:[root@localhost ~]# systemctl restart httpd查看结果:[root@localhost ~]# netstat -lntup | grep httpd、...
2022-03-25 19:09:21
1065
原创 Java实现输入日期 输出下一天
思路:1.建项目和类 2.实现day++ 3.设置maxDay 判断小月大月4.判断平年闰年 平年2月28天 闰年2月29天5.设置非法输入package xm1;import java.io.InputStream;import java.util.Scanner;public class Main { public static void nextDay(int year, int month, int day) { if (year < 1900 || month
2022-03-23 11:47:49
2700
2
原创 python数据类型
python中不可变数据类型和可变数据数据类型1.名词解释不可变数据类型: 当该数据类型的对应变量的值发生了改变,那么它对应的内存地址也会发生改变,对于这种数据类型,就称不可变数据类型。 可变数据类型 :当该数据类型的对应变量的值发生了改变,那么它对应的内存地址不发生改变,对于这种数据类型,就称可变数据类型。 总结:不可变数据类型更改后地址发生改变,可变数据类型更改地址不发生改变2.数据类型分类 在python中数据类型有:整型,字符串,元组,集合,列表,字典。接下来我们...
2022-03-15 14:57:15
600
原创 DHCP server
DHCP:Dynamic Host Configration Protocol 动态主机配置协议通过DHCP 协议 分配地址的DHCP特点:基于C-S(ci)上网:ip地址 默认网关 网络掩码 DNS
2022-03-08 12:51:42
1877
原创 VRP系统
第一个:用户模式 查看、检测 <huawei>第二个:系统 system-view 对设备进行配置 [huawei]第三次:高级视图、其他模式 针对性配置 [huawei-XXXXXXXX]
2022-03-02 23:29:37
504
原创 子网划分汇总
OSI七层参考模型网络设备hub:集线器 信号放大中继器 连接更多用户的集线器 一层设备bridge:网桥 二层设备可隔离冲突域可识别mac地址switch:交换机 比网桥高级 二层设备 识别mac地址router:路由器 三层设备 可识别ip地址 隔离广播域冲突域:多个集线器连接的网络,产生冲突的区域。交换机或者网桥可以隔离冲突域,一个交换机或者网桥的接口是一个冲突域交换机或者网桥的所有接口默认在一个广播域内。广播域:一个广播数据可以到达的区域为同一个广播域。解
2022-02-19 21:10:18
1057
原创 OSI模型
PDU :协议数据单元4层PDU:segment 分段 分片网络层:network 编值 寻址地址:编址协议:IP (IPV4 IPV6) IPX apple talk novell NSAPIP- internet protocol 互联网协议,协议---IPV4协议 编制方式:主机---地址构成方式:32个二进制构成2^32=42.9亿IP地址:172.20.10.5网络掩码: 255.255.255.240网络位 主机位1010 1...
2022-02-19 16:41:37
1020
原创 互联网中的单位
(在行业中认为)并非1024转换互联网中的单位:bit---比特,一个二进制1000bit=1kbit1000kbit=1mbit1000mbit=1gb1000gb=1tb1000tb=1pb1000pb=1ebByte---字节,一个字节为8个bit 自然语言---编码 流量统计一个英文字母用八个二进制表示一个汉字用两个字节表示13个bit1000B=1KB1000KB=1MB1000MB=1GB1000GB=1T速率单位:100Mbps=100 兆 比特 每秒.
2022-02-10 21:41:06
1369
原创 HCIA-1
NTP---network timer protocol---网络时间协议网络工程师:系统集成工程师;网络安全工程师;网络优化工程师网络:network,传递信息,资源共享。使用连接设备将终端设备pc phone pad连接起来,传递信息。OSI:开放式系统互联open system interconnected分层思想7层模型OSI----缩减----TCP/IP模型(4层)定义数据产生过程应用层,表示层,会话层-----控制层面传输层,网络层,数据链路层,物理层-----数据层面
2022-02-10 21:38:01
622
原创 py简单爬虫知识(待补充)
fidder(抓包工具)的使用:https://www.telerik.com/download/fiddler爬虫的本质就是使用网络请求获取数据,筛选需要的数据,并讲述加储存下来。Accept-Encoding: identity 期望编码User-Agent: Python-urllib/3.9 用户代理对象Connection: closeHost: www.sina.com.cn浏览器也有自带的抓包工具,但不能抓pycharm,fidder可以抓pycharm百度就是通过
2022-01-01 15:04:51
291
原创 web开发技术重点
一、单项选择(30题共30分) 来自课后习题html、css二、判断(10题共10分) 来自课后习题html、css三、简答题(4题共20分) 八选四P24 简述HTML代码书写规范(1)标签可以嵌套使用,但要注意标签间的前后匹配,避免引起交叉而出现语法错误。(2)HTML代码不区分大小写,但在一个项目中应尽量使用同一种风格,即选择大写或小写的一种。(3)标签中的属性都会有其属性值,属性值用" "括起来。(4)编写代码时,为了便于阅读和理解网页结构,...
2021-12-31 22:28:49
881
原创 计数排序(桶排序)python
给定一串数字按大小排列:第一步:找最大值和最小值第二步:计算计数列表(数组)的长度=(最大值-最小值+1)第三步:偏移量=最小值第四步:创建一个新的列表----存放排序后的元素元素-偏移量的结果是对应放的下标#计数排序(桶排序)array = list(map(int,input("输入用空格分隔的数字:").split())) #给定一个列表max_num = list[0]min_num = list[0]for num in list: if num >
2021-12-08 19:49:36
438
原创 列表生成器python
用列表推导式生成列表,当生成列表元素特别多的时候,空间浪费很大,会引起大量的元素占用空间,从而浪费空间。可用列表生成器。只要将列表推导式中的[]换成()列表推导式返回的是值,列表生成器返回的是对象。取列表生成器中的元素时要借用next函数next(变量名) 取完后将“报错” next可理解为一个指针,指针不会回退的,直到抛出异常。生成器相当于是个算法:通过next()计算值例子:斐波那契数列(从第三个元素开始,每个元素是前两个元素的和)ls = [] #创建一个空...
2021-12-03 19:49:42
880
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人