第2天:基础入门-Web架构&前后端分离站&Docker容器站&集成软件站&建站分配

已于 2024-03-31 01:01:02 修改
阅读量884 收藏 5
点赞数 15
分类专栏: 小迪安全V2023 文章标签: 前端 架构 网络安全 后端
于 2024-03-31 00:51:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48613011/article/details/137188311
版权

第二天

Untitled

Untitled

一、Web其他-前后端&软件&Docker&分配站

1.前后端分离

原理:前端JS框架只用于显示内容,后端是另一个网站,前后端通过API传输数据

影响:

1、前端(HTML、JavaScript)页面大部分不存在漏洞

2、后端(PHP、JAVA、.NET)管理大部分不在同域名

3、获得权限有可能不影响后端

2.宝塔+Phpstudy

原理:打包类集成化环境,权限配置或受控制

影响:攻击者权限对比区别

结论:宝塔面板更加安全

3.Docker容器

原理:虚拟化技术独立磁盘空间,非真实物理环境

影响:测试者攻击的其实是虚拟磁盘空间

4.建站分配站

1.托管

2.申请

原理:利用别人域名模板建立

影响:实质安全测试非目标资产

5.静态Web

例子:大学学的HTML设计的网站

原理:数据没有传输性(JS传输不算)

影响:无漏洞

6.伪静态

动态转为静态技术,伪装的静态

二、环境复现

一、宝塔搭建

1.购买云服务器,注意配置安全组放行所有端口

image-20240305185745705

2.在宝塔面板官网下载Windows版本,将下载好的宝塔面板复制到服务器中并解压后安装

image-20240305190213438

3.安装完后会出现登陆网址与账号密码,复制到实体机进行登陆验证

image-20240305190651383

4.注册宝塔面板的账号后再软件商店进行运行环境的配置,安装Apache服务器、MySQL、PHP5.4
image-20240305191149961

image-20240305192148604

5.安装完成后进行zblog的部署,将解析的域名填写进去

image-20240305192534145

image-20240305192545903

二、PHPstudy搭建

1.同宝塔面板搭建
2.在PHPstudy官网下载Windows版本并解压安装

image-20240305210546677

3.创建网站并配置域名和文件存放路径

image-20240305211040112

三、IIS搭建

1.安装IIS应用并测试是否成功
2.生成后门程序注入网站目录下

image-20240305225913504

image-20240305225929785

image-20240305230007643

3.因为没有做域名解析,尝试使用IP地址访问后门

image-20240305230416820

4.打开工具箱添加网站进行连接测试,测试成功后进行添加

image-20240305230511744

5.进入网站目录,发现可以查看;进入命令执行,发现可以执行部分命令

image-20240305230643166

image-20240305231108349

三、拿到权限后

1.宝塔面板

文件管理——>锁定目录

命令执行——>无法执行

2.PHPstudy

文件管理——>锁定目录

命令执行——>无法执行

whomi——>获取用户权限——>administrator

3.自己搭建的IIS

iis apppool\defaultapppool

CSO_IceCream
关注
专栏目录
DAY2,基础入门-Web架构&前后端分离&Docker容器&集成软件站&建站分配
qq_57990018的博客
04-04 127
原理:虚拟化技术独立磁盘空间,非真实物理环境。影响:数据被单独存放,能连接才可影响数据。原理:打包类集成化环境,权限配置或受控制。存储:其他服务器上数据库&云数据库产品。原理:数据没有传输性(js传输不算)原理:前端JS框架,API传输数据。例子:大学学的html设计的网。原理:源码数据库不在同服务器。影响:实质安全测试非目标资产。原理:源码数据都在同服务器。影响:无,常规安全测试手法。原理:利用别人域名模版建立。#宝塔+Phpstudy。影响:攻击者权限对比区别。影响:攻击者虚拟空间磁盘。
面经 - OpenStack(Docker、Django、K8S、SDN)知识点
RBK的博客
02-24 4321
概述 云计算是一种采用按量付费的模式,基于虚拟化技术,将相应计算资源(如网络、存储等)池化后,提供便捷的、高可用的、高扩展性的、按需的服务(如计算、存储、应用程序和其他 IT 资源)。 云计算基本特征: 自主服务:可按需的获取云端的相应资源(主要指公有云); 网路访问:可随时随地使用任何联网终端设备接入云端从而使用相应资源。 资源池化: 快速弹性:可方便、快捷地按需获取和释放计算资源。 按量计费: 常见的部署模式 公有云 私有云 社区云 混合云 三种服务模式 IaaS:云服务商将IT系统的基础设施
后端项目部署上线详细笔记
TCDHanyongpeng的博客
08-30 6926
参考文章:如何部署网?来比比谁的方法多 - 哔哩哔哩大家好,我是鱼皮,不知道朋友们有没有试着部署过自己开发的网呢?其实部署网非常简单,而且有非常多的花样。这篇文章就给大家分享几种主流的前端 / 后端项目部署方式吧!前端部署对于前端项目,打包之后往往是一个目录,目录中包含 index.html(入口文件)、css、js 等等。那么我们要做的事情其实就是想办法 让用户访问到这些文件 ,包含两个关键的问题:文件存放到哪里?怎么提供文件访问能力?围绕这两个问题,常见的部署方式有以下五种。
阿里云服务器&宝塔&phpstudy&IIS建站
fencecat的博客
02-26 1601
阿里云服务器&宝塔&phpstudy&IIS建站以及四种平台下通过后门获取命令权限文件权限的不同
002-基础入门-Web架构&前后端分离&Docker容器&集成软件站&建站分配
qq_58998001的博客
10-30 735
当用户访问一个伪静态URL时,服务器会根据预设的规则,将其重写为实际的动态URL,并继续处理这个请求。Docker 是一种开源的应用容器引擎,它允许开发者打包他们的应用以及应用的依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。用户不需要自己购买和维护服务器硬件,而是通过支付一定的费用,将网托管在专业的数据中心。Docker 容器共享宿主机的内核,这意味着如果攻击者能够在一个容器内执行内核级别的攻击,比如利用内核漏洞,那么他们可能会影响到宿主机上运行的所有容器
从零开始学习网络安全渗透测试之基础入门篇——(二)Web架构&前后端分离&Docker容器&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
love6a6的博客
07-26 964
Web架构是指构建和管理Web应用程序的方法和模式。随着技术的发展,Web架构也在不断演进。
小迪安全2023期笔记汇总-持续更新
今天是几号的博客
03-03 1万+
基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA。基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断。信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份。基础入门-ChatGPT篇&注册体验&结合安全&融入技术&高效赋能&拓展需求。信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报。
docker入门知识总结
TheMonkeyKing
11-01 1015
Docker入门知识的个人笔记总结,不适合0基础的同学作为入门资料学习。 Docker为什么比虚拟化省资源? Docker利用了Linux核心中的资源分离机制,如cgroups和linux的命名空间namespace,来建立独立的容器。它和宿主机共用内核,避免了虚拟机使用自己独立操作系统所带来的开销。 Docker如何实现资源隔离 cgroups提供硬件计算资源的隔离,包括cpu,内存,存储,io与网络。 命名空间隔离了工作环境,包括进程数、网络、用户ID、挂载系统等等 命名空间分为6种,不同版本的linu
【宝藏】GitHub黑科技的开源项目(有趣&高质量)
大鹏的博客
06-02 1万+
博主收集整理 GitHub 上高质量、有趣的开源项目,并将他们进行归类。值得注意的是,不是简单的按照编程语言来分类,而是按照更有趣的分类方式,比如:有趣项目、沙雕项目、实战项目、学习项目、实用工具等等。同时欢迎通过 Pull Request 或者 issues 给我们推荐优秀好玩的开源项目。目录好玩项目实战项目开源工具学习项目大厂开源盘点 GitHub 上堪称黑科技的开源项目,请托起你的下巴不要惊掉。盘点 GitHub 上的沙雕项目,这些项目可能会让你笑的合不拢嘴。
【Prometheus】Prometheus&Grafana 监控
热门推荐
努力充实,远方可期
12-03 2万+
Prometheus&Grafana 监控 整理自B多个视频, 如尚硅谷https://www.bilibili.com/video/BV1HT4y1Z7vR 马哥https://www.bilibili.com/video/BV1AK4y1T7QQ 本文尚在整理中,先抛出来给大家参考 第1章 Prometheus 入门 版本:V2.0 Prometheus 受启发于 Google 的Brogmon 监控系统(相似的 Kubernetes 是从 Google的 Brog 系统演变而来),从 2
2020年Linux的知识技术合集(基础入门到高级进阶)
Linuxishome的博客
03-01 1538
前言 本文介绍下Linux从入门到高级进阶的学习路线。 整个路线体系专注于服务器后台开发,知识点包括C/C++,Linux,Nginx,ZeroMQ,MySQL,Redis,fastdfs,MongoDB,ZK,流媒体,CDN,P2P,K8S,Docker,TCP/IP,协程,DPDK等等 资源列表: 1:linux零基础入门 2:linux服务器开发 3:架构师开发 4:linux内核 5:we...
商城-文档
weixin_46925850的博客
07-28 8021
谷粒商城学习笔记
阿里云主要产品及功能介绍,阿里云产品分为6大分类:云计算基础/安全/大数据/人工智能/企业应用/物联网
m0_58207718的博客
05-14 1万+
目录 云计算基础(Cloud Essentials): 安全(Security): 大数据(Data Technology): 人工智能(AI): 企业应用(Enterprise Applications): 物联网(IOT): 云计算基础(Cloud Essentials): 云基础产品体系完整度全球领先,基础产品及功能持续投入建设,源源不断的通过新技术提高企业云上的计算、运维、开发和管理能力。...
【CherryPy Web开发秘籍】:精通Python库,构建高效Web服务的15个关键策略
Web开发是构建现代Web应用程序的基础,而CherryPy作为一个成熟而强大的Python Web框架,自2002年首次发布以来,就以其简洁的架构和强大的功能,受到了广泛的关注。本章将引领读者快速了解CherryPy的基础知识,并为接
做一个能适配「手机」的网需要注意什么
最新发布
illidri的博客
11-01 244
像现在主流会采用 H5 响应式布局,仅涉及前端的开发工作,代码量少,效果佳,是一种性价比比较高的选择,如果题主有意要进行网建站,特别是想要手机浏览也有一定效果,可以选择这种~当然还有一种类似的方式叫自适应布局,俗称 AWD(AdaptiveWebDesign),同样是检测视口分辨率,判断不同尺寸和分辨率是什么设备,从而返回不同布局页面。最根本的区别在于,响应式页面的代码量少,但质量要求高,根据不同分辨率自动调整排版,而自适应页面需要根据不同设备准备不同的页面,这样前期的开发工作就大了很多。
前端 常见开发工具使用
weixin_45534301的博客
10-31 452
【代码】前端 常见开发工具使用。
JavaScript中this的指向和改变this指向的方法 - 2024最新版前端秋招面试短期突击面试题【100道】
everfoot的博客
10-29 679
了解this的工作原理是掌握JavaScript的关键之一,特别是在编写复杂的应用程序时。正确使用this可以避免许多常见的问题和错误。在实际开发中,合理选择不同的绑定方法,可以让你的代码更加灵活和易于维护。掌握这些this的知识点将帮助你在前端面试中脱颖而出!祝你顺利上岸!
Google Recaptcha V2 简单使用
吴家健ken的博客
10-30 286
Google Recaptcha V2 简单使用
Canvas字体高度计算与PDF高度如何统一
aa_qq110的专栏
10-31 302
如果前端使用Canvas生成图片,后面使用nodejs生成PDF,但PDF中没有计算boundingBoxAscent 和boundingBoxDescent的方法,这时可以简单将字的高度前后台统一为字体高度,而不使用基线的方式计算。请懂的大神指出有没有什么问题,有没有更好的方式。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值