- 博客(32)
- 收藏
- 关注
RSS订阅原创 web渗透之ssrf漏洞
服务器端请求伪造(SSRF)的原理、危害以及常见的绕过方法。同时,还讨论了如何利用SSRF漏洞进行攻击,包括利用URL伪协议、Redis反弹shell等方法。最后,文章还提供了一些防御SSRF漏洞的建议,如限制访问的协议、限制访问内网IP、限制请求端口和目标网址
2024-08-08 21:48:51
466
原创 任意文件下载&上传
4.只过滤动态代码文件,忽略了.htaccess文件,绕过方法:上传.htaccess,再上传.htaccess文件指定的文件名。3.apache的设置问题,服务端可以解析php,php3,php5,phtml 绕过方法:上传php3,php5,phtml。上传图片马,利用需要nginx或apache有解析漏洞(把非php文件当php文件使用)或文件包含漏洞。6.和其他的防护相比,少了首尾去空,绕过方法:文件名最后增加空格和点。7.少了删除文件名末尾的点,绕过方法:文件名最后增加点.
2024-08-07 22:03:53
584
原创 nginx基础笔记
nginx多站点配置多端口多站点多域名多站点多ip多站点临时添加多ipnginx日志错误日志访问日志定义日志格式使用日志开启basic认证选择生效范围网站全局生效在server添加,在访问该网站时出现验证指定路径生效在指定目录里添加即可准备密码文件在线生成密码生成密码网站 密码选择Crypt (all Unix servers) 在文件(/etc/nginx/htpasswd)添加生成的账号密码重
2024-06-09 18:28:17
1027
原创 linux之链接应用
inode:每个文件的唯一识别号,一个文件名一个inode,存放指向对应block位置的指针(这个文件数据存在哪些block块里)block:存储块,一个block块4k,最小的io单元,读写每次一个块,真正存数据的位置磁盘有很多block块组成一个分区是一个文件系统。
2024-05-19 16:49:59
332
原创 linux之用户管理
userdel 用户名 #该命令只删除/etc/passwd里的用户信息,家目录和/var/spool/mail目录也有残留。usermod -u 34 用户名 指定需要修改的数值,参数与用户创建的参数一致。-l 列出所有成员(只能查看通过该命令添加的成员)(list)su 用户名 不加-,继承原有用户终端变量信息,不加载profile。-r 用户名 彻底删除,没有残留(一般不加,备份)-a 指定用户添加到指定组(add)groupsmems -a 指定用户 -g指定组。
2024-05-19 14:20:00
440
原创 linux系统软件管理
yum history info id 默认最新事件 yum history info id 6 查看事件6详细操作。/etc/yum.repos.d/ 该目录下存着从哪些源获取软件包和源的配置文件。yum install 软件包名 软件包2 软件包3 -y 不需要确认。YUM 将从配置的软件源中下载最新的软件包信息并更新本地缓存。使用前尽量配置源,能下载更多软件和提高下载速度,配置源教程。此处省略·····,具体的编译安装以后会讲到。--downloadonly 只下载不安装。rpm -i 软件名。
2024-05-19 11:25:56
622
原创 linux系统之ssh远程连接服务
GSSAPICleanupCredentials no #api检查,用户退出登录时自动销毁用户的凭证缓存 UseDNS no #不走走dns查询。ssh-copy-id -i /root/.ssh/id_rsa.pub 用户@ip -i指定公钥路径, 以哪个用户连接 ssh ip 连接。systemctl restart sshd #重启服务生效。systemctl restart sshd # 重启服务生效。systemctl restart sshd #重启服务生效。
2024-05-19 11:00:15
475
原创 linux重要目录
根目录,一切文件目录的起点/etc:系统配置文件/tmp:临时文件目录存放处,重启系统会清空该目录/proc:一个虚拟的文件系统,用于存放可用来访问的内核和进程信息/root:root用户的家目录,root登录后默认所在目录/home:普通用户家目录/usr:用户程序和数据/ilb:系统运行所需要的库,以及内核模块/bin:存放普通用户使用的命令/sbin:存放root用户使用的命令/mnt:常用来挂载磁盘,光盘等/media:也是挂载点/var:存放日志文件,邮件信息。
2024-05-18 23:24:21
1099
原创 通过cowsay实现欢迎页面效果
每次登录实现有牛在说名言步骤 安装相关软件包 yum install fortune-mod-1.99.1-17.el7.x86_64 cowsay -y 编辑执行脚本 vim /etc/profile.d/cowsay.sh 脚本内容 #!/bin/bash a=($(cowsay -l|awk 'NR>1{print}')) SuiJi=$((RANDOM%49-1)) fortune |cowsay -f ${a[$SuiJi]}
2024-05-18 22:31:09
308
原创 linux系统基础命令
ls 查看当前目录内容(或指定要查看的目录)参数-a all,显示所有文件,包括.开头的隐藏文件-l one-line-one-file,每行只显示一个文件-h human-readable,以人类可读的方式查看大小单位-i inode,显示inode号-S size,按照文件大小排序。
2024-05-18 20:50:14
1071
原创 linux基础优化
Permissive:宽容模式,策略会被加载,但不会被强制执行,只会记录违规行为。Enforcing:强制模式,这是默认模式,所有策略都会被强制执行。getenforce 查看当前selinux运行模式。selinux策略,类似于windows的安全组策略。setenforce -指定模式。0:等同于Permissive。1:等同于Enforcing。
2024-05-18 18:26:58
217
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人