- 博客(56)
- 收藏
- 关注
RSS订阅原创 认识FastCGI以及优化
如果瞬间有1000个并发请求,服务器就需要创建和销毁1000个进程,巨大的开销严重限制了服务器性能。:PHP-FPM 的主进程接收请求,从进程池中分配一个空闲的 Worker 进程来执行 PHP 文件并生成 HTML。:Web 服务器(如 Nginx)和应用语言(如 PHP)彻底分离,通过 FastCGI 协议通信。:当请求执行过慢时,会记录完整的 PHP 函数调用栈,对于定位数据库慢查询、死锁或低效代码至关重要。这个词,感觉很高深。,顾名思义,它就是 FastCGI 协议的一个进程管理器。
2025-11-27 15:08:19
528
原创 SSRF攻击:原理、手法与演进
简单点就是:网站拥有让我访问别的网站的功能,我访问的是类似192.168.150.3:80这样的内网ip。的功能时(如分享预览、数据获取、网页抓取、Webhook通知等),如果攻击者能够控制这个URL,并使其访问内部或受限制的网络资源,就构成了SSRF。使用 Gopherus 等工具生成Payload,将公钥写入/root/.ssh/authorized_keys,或写入PHP WebShell。file:///proc/self/environ # 读取当前进程环境变量,可能包含密钥。
2025-11-27 14:17:49
460
原创 Rhel磁盘管理指南
lvresize -L +50G /dev/vg_data/lv_data # 扩展逻辑卷大小。lvremove /dev/vg_data/lv_data # 删除逻辑卷。vgcreate vg_data /dev/sdb1 /dev/sdc1 # 创建卷组。mount -t ext4 /dev/sda1 /data # 指定文件系统类型挂载。pvcreate /dev/sdb1 /dev/sdc1 # 创建物理卷。
2025-10-16 16:58:20
852
原创 浅谈文件上传
文件上传漏洞的防御是一个需要根据架构特点进行针对性布防的领域。无论是本地的纵深防御、站库分离的环境隔离,还是云存储的权限管控,其核心思想始终是“永不信任用户输入,并在每一步进行严格验证”。
2025-09-29 16:44:21
859
原创 SQL注入与防御:从攻击原理到预编译防御
其实并不存在什么"SQL注入",我们是正常用户,正常传入数据。只不过其他人查询的是管理员让你看的,而我们是绕过某些限制,看到了正常用户看不到的信息。
2025-09-29 13:18:55
566
原创 Shell脚本实现自动封禁恶意扫描IP
我们使用iptables工具实现功能iptables 是 Linux 系统上最常用的防火墙工具,可以指定策略。BAN_IPSET="malicious_ips" # ipset集合名称SCAN_THRESHOLD=50 # 10分钟内访问50次触发封禁BAN_DURATION=$((24*60*60)) # 封禁持续时间(秒),24小时EXCLUDE_IPS="127.0.0.1 0.0.0.0 192.168.253.1" # 排除的IP列表。
2025-08-08 21:19:14
276
原创 cact的RCE漏洞复现
并且因为action=polldata&local_data_ids[0]=6&host_id=1&poller_id=`touch+/tmp/success`所有我们的攻击点为传action参数的地方。&local_data_ids[0]=6&host_id=1&poller_id=`touch+/tmp/success`传参中强制选择的polldata情况。发现了只有第6个库的action才是2 所以我们需要查询的是第6给库 才传递了参数。所有的一切都是围绕着让我们传入的参数绕过他的防御代码为目的。
2025-08-07 16:44:20
745
原创 XSS攻击简单概述
- 恶意链接 -->echo "搜索结果: " . htmlspecialchars($query, ENT_QUOTES, 'UTF-8');%5B%5D%2B%5B%5D)%5B%2B%5.....:用户访问恶意链接或页面,前端JavaScript错误地处理了用户可控的数据(如。在服务器(如数据库、评论、用户资料等),当其他用户访问受影响页面时自动执行。-- 服务端存储后展示给其他用户 (Node.js示例) -->-- 服务端代码 (PHP示例) -->
2025-07-19 12:24:23
827
原创 安全-JAVA开发-第二天
/ 获取Cookie值。@WebServlet("/admin") // 定义Servlet访问路径为/admin。@WebFilter("/admin") // 过滤所有访问/admin路径的请求。
2025-06-04 23:49:56
1387
原创 MP4文件声音与视频分离
百度链接: https://pan.baidu.com/s/1Lod1gqf92n_3CYHzoC2Big?迅雷链接:https://pan.xunlei.com/s/VORu5x64jjL-gXFd_VTpYjRPA1?分离为静音文件 ffmpeg -i my.mp4 -an -vcodec copy video.mp4。最近学习PR剪辑 要添加视频文件和音频文件 但是直接给MP4文件 得到的是一个整体。夸克链接:https://pan.quark.cn/s/8dbc3bfbc5d4。
2025-06-04 16:57:33
649
原创 安全-JAVA开发-第一天
/ - 其他常用参数:useSSL=false(测试环境禁用SSL)、characterEncoding=utf8(设置编码)//接收输入的name值。//接收输入的name值。while (rs.next()) { // rs.next()移动游标并判断是否有下一条数据。// 按列名获取数据(也可以使用列索引:rs.getString(1))@WebServlet("/new")//使用这个方法 不用配置web.xml文件。
2025-06-03 21:14:51
1209
原创 JS语言基础
input type="password" name="password" id="password" class="pass" placeholder="请输入密码"><input type="text" name="username" id="username" class="user" placeholder="请输入用户名"><img src="iphone.jpg" width="300" height="300" alt="iPhone图片">// 添加跳转地址到JSON响应中。
2025-05-28 23:37:13
1589
原创 网络安全--PHP第三天
round(filesize($file_path)/1024) : '-', // 文件大小(KB)'file_time' => date('Y/m/d', filemtime($file_path)), // 修改日期。
2025-05-26 13:50:53
899
原创 网络安全--PHP第二天
input type="text" name="username" id="username" class="form-control" placeholder="请输入用户名"><input type="text" name="username" id="username" class="form-control" placeholder="请输入用户名">//写cookie 有了后不需要密码就可以登录。
2025-05-25 13:52:31
1186
原创 网络安全--PHP第一天
用户名: <input type="text" name="username"></p> 内的数据。//拿到 <p><textarea name="content"></textarea>
2025-05-21 18:39:06
880
原创 OSPF综合性实验
为了减小边缘路由器的压力 使其不用学习大量的LSA 在配置特殊区域后 可以过滤到部分LSA 由ABR或者ASBR设备下发一条缺省(需要在同一区域的路由器上配置相应的命令 如第二张图片)同理 AR9在OSPF进程2也需要下发一条缺省或者AR10写一条静态缺省只想AR9。该实验环境为点到点链路 且需要由外网给边界路由器发放ip 还要包含认证 配置如下。第三步 配置各区域的OSPF和RIP协议 结果如下。需要在边界路由器AR4上抓取内网流量配置nat服务。且双方都得配置一条静态缺省指向对方(略)
2025-05-10 15:23:02
1050
原创 vlan实验
4、所有PC通过DHCP获取IP地址,且PC1/3可以正常访问PC2/4/5/6。1、PC1和PC3所在接口为access接口,属于VLAN 2。3、PC1/3和PC2/4/5/6不在一个网段,且可以正常通讯。PC1-可以正常访问PC3/PC6(PC245)2、PC2/4/5/6处于同一网段。PC4可以访问PC5不能访问PC6。PC4可以访问PC5不能访问PC6。其中PC2可以访问PC4/5/6。PC2可以访问PC4/5/6。PC5不能访问PC6。PC5不能访问PC6。
2025-03-26 16:14:09
362
原创 l2tp通道实验
USG6000V1-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1 --物理口上启动程序。[FW3-ip-pool-l2tp]section 0 172.16.0.2 172.16.0.100 --设置l2tp地址池。[FW2-aaa-domain-default]service-type l2tp --将链接模式设置为l2tp。[FW3-aaa-service-l2tp]ip-pool l2tp --调用l2tp地址池。
2025-03-18 14:10:57
656
原创 防火墙虚拟区域小实验
为了实现不同部门之前的互访 我们需要配置相应的策略 以下是虚拟区域a到b的策略。地址,公司内网所有部门都需要借用同一个接口访问外网。地址,公司内网所有部门都需要借用同一个接口访问外网。、为三个部门的虚拟系统分配相同的开启。为三个部门的虚拟系统分配相同的开启。,研发部门只有部分员工可以访问。之后按照要求配置合适的路由策略。之前配置easy-nat的内容。,研发部门只有部分员工可以访问。,行政部门全部可以访问互联网。,行政部门全部可以访问互联网。2者都是在策略放通的情况下写。配置vsysa区域的策略。
2025-03-05 16:00:58
453
原创 控制流量实验
上网高峰期(工作日下午3点-6点),上网用户下行带宽60M(U-T),外用用户下行带宽40M(D-U)上网高峰期(工作日下午3点-6点),上网用户下行带宽60M(U-T),外用用户下行带宽40M(D-U)假设,总共30个上网用户,在上网高峰期,限制每个用户访问Internet的最大下行带宽不超过2M。假设,总共30个上网用户,在上网高峰期,限制每个用户访问Internet的最大下行带宽不超过2M。部门A的上网用户数量不固定,为了让用户公平的使用带宽,根据实际在线上网用户数量,平均分配带宽。
2025-03-05 15:56:10
916
原创 防火墙组网双击热备综合实验
LSW3-Vlanif3]vrrp vrid 1 virtual-ip 192.168.3.254(两口出问题后使用vlan3的ip)[LSW3-Vlanif2]vrrp vrid 1 preempt-mode timer delay 20(配置修复时间)[LSW3-Vlanif2]vrrp vrid 1 virtual-ip 192.168.2.254(配置实例1的ip)[LSW3-mst-region]region-name aa(名字必须统一)将拓扑图划分为4个区域 自下而上。
2025-03-01 17:08:43
937
原创 DNS透明部署
在防火墙上配置dns配置 使内网的DNS地址10.10.10.10出去后根据端口转去访问DNS地址100.1.1.1/200.1.1.1。只有一个客户端可以访问 并且有时为客户端1 有时为客户端2(后续完善)在外部DNS拿到www.baidu.com的地址后去访问百度服务器。通过智能选路 选取合适的路线访问。五.配置虚拟DNS和实际DNS。实验成功了--------一半。
2025-02-17 16:19:55
741
原创 防火墙综合练习2
还需要修改进入协议 ssh->talent。1.在防火墙打开DHCP服务。2.进入接口打开DHCP服务。将IP地址和Mac地址绑定。并配置完成所有静态设备。
2025-02-10 23:05:07
271
原创 批量下载nginx服务
如果nginx软件存在则检查nginx服务是否启动,如果没有启动则启动该服务(为了确认是否启动成功,需要在自己浏览器中访问服务器ip地址对应的URL:$http://192.168.0.200$ 是否能看到nginx启动页面)- 提示3:nginx是一个软件,启动之后就会是一个名称为nginx的服务,提供网站服务-启动之后能在80端口访问到一个默认页面`http://192.168.0.200:80`等价于`http://192.168.0.200`,因为`http://`协议默认端口-80端口;
2024-11-15 11:00:25
451
原创 测试周围可以主机
针对192.168.0.10~192.168.0.100范围内所有主机进行网络探测。编写一个脚本`test_ip.py`实现指定参数的远程主机网络探测。print("网络畅通")print("网络阻塞")#以.分割数组内的从后到前第一个数据。#以.分割数组内的从后到前第二个数据。#code为0表示通畅。#定义初始与结束数组。
2024-11-15 10:55:27
398
原创 第二次代码作业(python)
小红打车,起步价8元(3公里), 每公里收费 2 元,她打车行驶了 n 公里,计算车费输入一个公里数输出应付车费输入:5输出:12km = float(input("请输入公里数:"))if km < 3:print("车费为8元")#分情况进行计费else:print("车费为" + str(cost) + "元")
2024-10-20 20:14:31
1037
原创 第一次代码作业(python)
小红打车,每公里收费 2 元,她打车行驶了 n 公里,计算车费输入一个公里数输出应付车费输入:5输出:10try:km = int(input("请输入行驶公里数:")) # 定义变量print("应支付的车费为:" + str(cost)) # 注意字符类型要一致except:print("请输入数字")
2024-10-20 19:55:59
789
原创 sql注入总结-1
,则意味着注入点存在,并且您可以通过改变条件来控制SQL逻辑。不是一个通常用作主键的值(主键通常是从正整数开始的),这个查询可能不会返回任何结果,除非数据库中确实存在。:这是MySQL数据库中的一个函数,用于更新XML文档中的内容。:这是SQL注释符号,用于注释掉原始查询中可能存在的任何后续代码,以防止语法错误。:这部分输入闭合了原始查询中可能存在的单引号,并提供了初始的查询条件。作为条件的查询很可能会返回一条具体的记录,前提是数据库中存在。:这是一个逻辑运算符,用于在原始查询的基础上添加额外的条件。
2024-08-06 00:57:32
1513
1
原创 渗透复现1
因为kali是国外软件 下载地址在国外 我们需要更换下载源 推荐阿里源。进入vscode 通过ssh连接ubuntu 下载phpdebug模块。3.ubuntu安装nginx和php与设置断点重连(重连失败)执行三条命令,添加php的源地址,更新,安装。Docker-compose靶标合集下载。2.phpstudy搭建SQL输入靶场。# 执行make install命令。Docker-compose安装。之后去nginx官网找到压缩包。在导航栏输入路径找到靶场。下载docker镜像。# 执行make命令。
2024-08-05 16:21:15
351
原创 数据库练习1
列4:gender,字符串,最大长度10,不能为空,默认值“unknown”列2:order_id,整型,外键关联到orders表的id列。列4:total_amount:浮点型,要求数据大于0。列2:name,字符串,最大长度50,不能为空。2:name,字符串,最大长度100,不能为空。列5:category,字符串,最大长度50。1:number,整型,主键自增长。列4:quantity,整型。列5:salary,浮点型。列3:price,浮点型。列1:id,整型,主键。列1:id,整型,主键。
2024-07-19 20:30:01
226
原创 HTML+CSS制作网页(率土)
提交</button> <button tyle="reset">重新填写密码 :<input type="password" value=""></div><div class="div1">用户名:<input type="text" value=""></div><div class="span"><span>注册用户</span>
2024-07-14 00:30:10
1069
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人