- 博客(69)
- 收藏
- 关注
RSS订阅转载 Grafana 中文入门教程 | 构建你的第一个仪表盘
这篇文章里我们从头到尾介绍了如何用 Grafana 生成仪表盘,如何配置和连接数据源,以及如何导入和创建一个仪表盘。之后的文章中,我们会介绍在卡拉搜索,我们是怎样监测服务健康状态的,同时我们会介绍 Prometheus 即普罗米修斯时序数据库的用法,欢迎继续关注我们的博客和公众号 (HiXieke)。如果你的 App 或小程序需要搜索功能,也可以到卡拉搜索首页[10]了解一下我们的托管搜索服务。
2024-11-11 17:08:48
1402
原创 一文彻底搞懂 Cookie、Session、Token
前端拿到JWT后,选取第二段账户和密码等信息,进行base64解码,拿到后,在后续的请求中,设置一个跟后端约定的一个属性,然后再把相应的JWT Toke传入后端。匹配信息成功后,向浏览器客户端发送 response : set-cookie,保存在客户端。举例:登录一个网站首先需要输入账户和密码,如果没有一个维持登陆状态技术,就需要一直输入账户和密码,降低了用户体验度。*保存在服务器端,匹配信息成功后,向浏览器客户端发送 response : set-cookie,如果验证成功,信息没有被篡改,验证通过。
2024-11-11 12:05:18
663
原创 docker
Docker官方的是一个基础版本的Docker镜像仓库,具备仓库管理的完整功能,但是没有图形化界面。搭建方式比较简单,命令如下registry。
2024-09-22 11:31:19
1387
原创 POP链利用技巧
在php中如果我们使用 & 对变量A的值指向变量B,这个时候是属于浅拷贝,当变量B改变时,变量A也会跟着改变。在被反序列化的对象的某些变量被过滤了,但是其他变量可控的情况下,就可以利用浅拷贝来绕过过滤。- 文件操作:file_put_contents()、file_get_contents()、unlink()- 命令执行:exec()、passthru()、popen()、system()- 代码执行:eval()、assert()、call_user_func()
2024-09-12 14:22:54
746
原创 ssrf实现.SSH未创建写shell,同时完成其他漏洞复现
服务器会根据用户提交的URL发送一个HTTP请求。使用用户指定的URL,Web应用可以获取图片或者文件资源等。典型的例子是百度识图功能。如果没有对用户提交URL和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造"的缺陷。“请求伪造”,顾名思义,攻击者伪造正常的请求,以达到攻击的目的。如果“请求伪造”发生在服务器端,那这个漏洞就叫做“服务器端请求伪造”,英文名字Server Side Request Forgery,简称SSRF。SSRF是一种由攻击者发起的伪造服务器发送的请求的一种攻击。
2024-08-26 00:02:41
1059
原创 Pikachu-XSS漏洞之cookie值获取、钓鱼结果和键盘记录实战记录
我们可以向用户发送一个链接请求,用户点击后会给我们提前搭建好的后台发出一个请求,后台收到请求后会返回一个身份信息验证的Basic头部,如果用户安全意识不够,输入了敏感信息:用户名和密码,然后这些就会被发送到pkxss后台。首先我们登录进去,我们发现界面和get型的是完全一样的,我们随便输入点东西:发现并没有在url里面显示,那怎么回事那,其实这个就是post型的,请求是通过post的方式发送的。**好了,所有的Pikachu模块我们都已经练习完了,但是还遗留下一些实战训练,我们今天就来一口气完成!
2024-08-17 17:45:58
2800
原创 无参数读文件-ctf
chr(current(localtime(time()))): 第一个值每秒+1,最多60秒可以得到46。例子:a(b(c()));
2024-08-12 09:05:17
429
原创 SQL注入小总结
联合注入顾名思义,就是使用联合查询进行注入的一种方式,是一种高效的注入的方式,适用于有回显同时数据库软件版本是5.0以上的 MYSQL 数据库。UNION 操作符用于合并两个或多个 SELECT 语句的结果集。请注意,UNION 内部的 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条 SELECT 语句中的列的顺序必须相同。盲注就是在注入过程中,获取的数据不能回显至前端页面。此时我们需要利用一些方法进行判断或尝试,这个过程称为盲注。
2024-08-05 22:23:18
923
原创 cs与msf权限传递,以及mimikatz抓取win2012明文密码
CS(Cobalt Strike)和MSF(Metasploit Framework)是两个广泛使用的渗透测试工具,它们可以相互配合,实现权限传递,扩大攻击范围。Cobalt Strike采用客户端/服务端架构,允许多人进行团队协作,特别适合模拟高级持续性威胁(APT)攻击。它集成了多种功能,包括端口转发、服务扫描、自动化溢出、多模式端口监听、Windows可执行文件(exe)木马生成、动态链接库(dll)生成、Java木马生成、Office宏病毒生成、木马捆绑;钓鱼攻击等。
2024-06-27 08:45:04
517
原创 pikachu中pkxss数据库怎么创建
在用小皮时候,只是知道个pikachu这个数据库,跟着视频看人家用pkxss数据库,自己也想用,查看了很多资料,又蒙又查,终于明白怎么弄,特此传授经验。图像中画横线的就是平常怎么创建数据库的,唯一不同的就是,里面有php和前端写的代码,也有数据库代码。如上图所示,既可以创建。希望能给大家带来帮助。
2024-06-15 01:08:18
388
原创 Procedure Analyse优化表结构
例如,如果你创建了一个 INT 字段作为你的主键,然而并没有太多的数据,那么,PROCEDURE ANALYSE()会建议你把这个字段的类型改成 MEDIUMINT。分析表结构看看mysql给我们的字段建议,综合实际情况调整一些字段的类型(这个已经很琐碎了,一般应用都到不了这么细,并且我们鉴于经验设计的数据库基本都能满足应用。通过分析select查询结果对现有的表的每一列给出优化的建议。利用此语句,MySQL 帮你去分析你的字段和其实际的数据,并会给你一些有用的建议。
2024-06-12 21:17:46
334
原创 SQL注入之updatexml报错注入(函数解释)
第二个参数 xml路径 是可操作的地方,xml文档中路径是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报错,并且会返回我们写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。原因:是因为updatexml(1,database(),1)这种书写的语法格式是正确的,所以不会爆出语法错误,在SQL注入中无法得到想要的库、表、列名(为了得到他们,应该怎样书写呐?正常查询 第二个参数的格式为 /xxx/xx/xx/xx ,即使查询不到也不会报错。
2024-06-05 09:47:09
1345
原创 使用pikachu Xss后台出现的问题
在进行xss-x漏洞实验的时候,一直出现上述错误,查找了很多,终于找到问题所在pikachu使用的数据库为同一个数据库,千万别被pkxss误导,以为pikachu还有一个数据库为pkxss,所以在配置的时候写下如下图的
2024-06-01 16:48:56
555
1
原创 爆字段名中select * from users as a join users解释
并且报错信息会存在重复的列名,可以使用 using 表达式挨个包含查询每一列,实现列的转移。(两相同的表,字段名肯定重复,用此机制既可查出字段名):通过系统关键词join可建立两个表之间的内连接。通过对想要查询列名所在的表与其自身内连接,数据库中as作用是起别名,as是可以省略的,为了增加可读性,建议不省略。获取第一列的字段名及后面每一列字段名。会由于冗余的原因(相同列名存在)
2024-05-30 09:18:44
468
原创 phpstudy中数据库为啥一直闪停
查了资料才知道,因为windows原本就有数据库,再加上phpstudy上自带数据库,两个数据库的端口为3306,导致端口冲突。首先使用 Windows + R 组合快捷键打开“运行”窗口,之后键入 services.msc 按下回车键,即可打开“服务”去服务里关闭mysql即可,如果没有开启则忽略使用此命令只删除服务,数据库内容不会丢失。删除后mysql就可成功重启了。
2024-05-30 09:14:54
433
原创 渗透攻击(思考题)
可以看到 windows hash由二部分组成,分别是LM HASH和NTLM HASH。组成为:username:RID:LM-HASH值:NTLM-HASH值。将每组数据转换为64位二进制,每7位后面加0,再转换回16进制。使用DES算法对每组数据进行加密,密钥为特定的字符串。使用MD4算法对Unicode编码后的密码进行加密。将两组加密后的数据拼接,得到LM Hash值。得到的128位哈希值即为NTLM Hash值。这是对同一个密码的两种不同的加密方式。将14字节的密码分成两组7字节数据。
2024-05-28 16:15:51
889
原创 搭建sql-lab出现的php不兼容
下载不了的时候,直接打开该网址下载5.xphp版本,解压到C:\php_studyv8\phpstudy\phpstudy_pro\Extensions\php(可能路径都不一样,找到Extensions\php放到该目录下)
2024-04-19 18:29:41
375
原创 防御安全(IPSec实验)
r1-ipsec-proposal-aa]esp encryption-algorithm aes-128 --- 定义数据加密算法 --- 缺省des。[r1-ike-proposal-1]encryption-algorithm aes-cbc-128 --- 定义加密算法 --- 缺省是DES算法。[r1-ike-proposal-1]authentication-method pre-share --- 定义认证方式 --- 缺省是预共享密。--- 关联ACL列表。--- 选择一阶段的模式。
2024-03-13 20:20:45
2453
原创 防御安全(第六次作业)笔记整理
VPN --- 虚拟专用网 --- 一般指依靠ISP或者其他NSP,也可以是企业自身,提供的一条虚拟网。L2TP VPN--- 因为他后面的乘客协议是PPP协议,所以,L2TP可以依赖PPP提供。VPN诞生的原因 --- 1,物理网络不适用,成本太高,并且如果位置不固定,则无法构。1,原始信息HASH算法得到摘要值 ---- 为了做完整性校验。4,等长输出 --- 不管原始数据多长,运算之后的摘要值长度是固定。我们一般网络封装协议都是由三部分组成的 --- 乘客协议,封装协议,运输协议。
2024-02-29 12:27:14
1780
原创 第五次作业(防御安全)
1.办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP 不能用来转换)7.多出口环境基于宽带比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。2.分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的http服务器。6.销售部保证email应用在办公时间至少可以使用10m的带宽,每个人至少1m。3.分公司内部的客户端可以通过公网地址访问到内部的服务器。双击热备成功显示结果。
2024-02-19 18:10:47
748
原创 怎样一次性清除ensp中的所有配置以及处理电脑主机不可达
交换机配置写错(交换机链路类型写重复)防火墙ip写错或者ping没启动。可能原因:IP地址写错。
2024-01-31 22:43:22
2185
原创 安全防御第四次(笔记整理)
两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。1,假设主设备的下联口发生故障,则这个接口的vrrp状态将由原来的Active状态切换为。后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状。4,原主设备接收到对方的应答报文之后,将会把自身VGMP_ACTIVE组的状态由原来的。2,VGMP组发现VRRP组出现变化,将降低自身的优先级。3,当原备设备接收到请求报文后,看到里面的优先级时64999,而低于自身的65000,
2024-01-31 10:22:05
2306
原创 安全防御{第一次作业(笔记整理)}
目录网络安全概述1.什么是网络安全2.网络安全的重要性4.网络安全发展历程5.常见的病毒攻击6.常见的网络安全术语7.网络的基本攻击模式8..信息安全的五要素1.信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。网络安全:计算机网络环境下的信息安全。2.网络安全的重要性1.我国官方文件定义:网络空间为继海,陆,空,天以外的第五大人类活动领域24.网络安全发展历程。
2024-01-23 10:46:49
687
原创 RHCE第四次实验
3、将/home/tom目录仅共享给192.168.100.136这台主机,并只有用户tom可以完全访问该目录。[root@server ~]# chown tom:tom /home/B #要求的tom目录,错写成B目录。# 使用mount远程挂载命令挂载服务器的目录到客户端本地目录,-t nfs 表示使用的文件系统类型。2、开放/nfs/upload目录,为192.168.100.0/24网段主机可以上传目录,[root@node1 ~]# cd /nfs1/ ## 通过本地目录访问远程共享数据。
2023-11-23 16:42:41
146
原创 RHCE第三次作业(web服务器)
网站需求:1.基于域名www.openlab.com可以访问网站内容为 welcome to openlab!!!2.给该公司创建三个网站目录分别显示学生信息,教学资料和缴费网站,基于www.openlab.com/student 网站访问学生信息,www.openlab.com/data网站访问教学资料www.openlab.com/money网站访问缴费网站。3.要求(1)学生信息网站只有song和tian两人可以访问,其他网站所有用户用能访问。
2023-11-23 16:10:44
83
原创 rhce第二次作业
yes # 输入yes。[root@node1 ~]# ssh-copy-id root@192.168.48.130 # 输入服务端的账户及IP地址。# 注意:客户端将公钥上传到服务器端后,服务器端的/root/.ssh/authorized_keys文件会存储客户端的公钥数据。root@192.168.48.130's password: # 输入服务端root账户的的密码。[root@server ~]# ssh-keygen -t rsa # 一路回车。
2023-10-28 15:56:36
106
原创 rhce 第一次作业
RHCSA1.linux学习环境的安装部署vmware + 虚拟机+rhel9.x(准备两台虚拟机)2.文件相关管理命令7大文件类型(- = .txt d= 文件件 l 软连接 b c s p)touch 普通文本文件名vi ---vim 编辑文件 geditmkdir -p 目录名 创建目录cd 目录 进入到对应目录ls -l 目录 列出指定目录下所有文件tree 目录。
2023-10-28 11:53:34
147
原创 数据库第二次作业
需求:1.查询student表的所有记录2.查询student表的第2条到4条记录3.从student表查询所有学生的学号(id)、姓名(name)和院系(department)的信息4.从student表中查询计算机系和英语系的学生的信息5.从student表中查询年龄18~22岁的学生信息6.从student表中查询每个院系有多少人7.从score表中查询每个科目的最高分8.查询李四的考试科目(c_name)和考试成绩(grade)9.用连接的方
2023-10-11 11:14:47
94
原创 数据库第一次作业
需求:1、显示所有职工的基本信息。 2、查询所有职工所属部门的部门号,不显示重复的部门号。 3、求出所有职工的人数。 4、列出最高工资和最低工资。 5、列出职工的平均工资和总工资。6、创建一个只有职工号、姓名和工作时间的新表,名为工作日期表。7、显示所有女职工的年龄。8、列出所有姓刘的职工的职工号、姓名和出生日期。9、列出1960年以前出生的职工的姓名、参加工作日期。10、列出工资在1000-2000之间的所有职工姓名。11
2023-10-11 11:07:35
169
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人