云服务器部署Docker关于Docker
Docker是一种流行的容器化平台,它能够简化应用程序的部署和管理
下面将介绍在Ubuntu操作系统上安装Docker的步骤,以便我们可以开始使用Docker来构建和运行容器化应用程序。
首先呢,需要有一个服务器,我用的是阿里云服务器
卸载自带docker我们先检查并卸载老版本docker
ubuntu下自带了docker的库,不需要添加新的源。
但是ubuntu自带的docker版本太低,需要先卸载旧的再安装新的。
注:docker的旧版本不一定被称为docker,http://docker.io 或 docker-engine也有可能,所以我们卸载的命令为:
1$ apt-get remove docker docker-engine docker.io containerd runc
安装更新软件包在终端中执行以下命令来更新Ubuntu软件包列表和已安装软件的版本:
1sudo apt update sudo apt upgrade
安装docker依赖Docker在Ubuntu上依赖一些软件包。执行以下命令来安装这些依赖: ...
文件包含web-78
此题为 【从0开始学web】系列第七十八题此系列题目从最基础开始,题目遵循循序渐进的原则
希望对学习CTF WEB的同学有所帮助
文件包含系列开始啦
进入环境
查看源码
1234567891011121314151617181920<?php/*# -*- coding: utf-8 -*-# @Author: h1xa# @Date: 2020-09-16 10:52:43# @Last Modified by: h1xa# @Last Modified time: 2020-09-16 10:54:20# @email: h1xa@ctfer.com# @link: https://ctfer.com*/if(isset($_GET['file'])){ $file = $_GET['file']; include($file);}else{ highlight_file(__FILE__);}
尝试用input,修改参数
传入一个p ...
SSRF篇web-351
此题为 【从0开始学web】系列第三百五十一题此系列题目从最基础开始,题目遵循循序渐进的原则
SSRF开始啦
首先进入环境
分析代码,发现是POST传参
url由post传参
于是用harkbar
post请求传参url的值
以此访问falg
1url=127.0.0.1/flag.php
即可获取flag
web-352
进入环境
逐行分析代码
12345678910111213141516171819202122<?phperror_reporting(0);highlight_file(__FILE__);$url=$_POST['url'];$x=parse_url($url);if($x['scheme']==='http'||$x['scheme']==='https'){if(!preg_match('/localhost|127.0.0/')){$ch=curl ...
文件包含 学习笔记基础知识相关函数php中引发文件包含漏洞的通常是以下四个函数:
include()
include_once()
require()
require_once()
其中:
include() 如果出错的话,只会提出警告,会继续执行后续语句。
reuqire() 如果在包含的过程中有错,比如文件不存在等,则会直接退出,不执行后续语句。
而include_once()和 require_once() 功能与include()和 require() 类似
但如果一个文件已经被包含过了,则 require_once() 和 include_once() 则不会再包含它,
以避免函数重定义或变量重赋值等问题。
当利用这四个函数来包含文件时,不管文件是什么类型(图片、txt等等),都会直接作为php文件进行解析
测试代码:
1234<?php $file = $_GET['file']; include $file;?>
在同目录下有个phpinfo.txt,其内容为 <? phpinfo(); ?> ...
SSRF 学习笔记SSRF简介
**服务器请求伪造 **ssrf(service side request forgery)
SSRF是一种由攻击者形成服务器端发起的安全漏洞,本质上属于信息泄露漏洞
SSRF漏洞原理攻击方式:借助主机A来发起SSRF攻击,通过主机A向主机B发起请求,从而获取主机B的一些信息。
利用的是服务端的请求伪造:ssrf是利用存在缺陷的web应用作为代理攻击远程和本地的服务器
SSRF漏洞利用SSRF漏洞利用:通过服务器A (SSRF服务器)访问A所在内网的其他服务器获取信息,进而利用SSRF实现其他漏洞利用。
利用file协议读取本地文件
利用file协议读取本地文件对服务器所在内网、本地进行端口扫描,获取一些服务的banner信息
攻击运行在内网或本地的应用程序
攻击内外网的web应用,主要是使用HTTP GET请求就可以实现的攻击
攻击运行在内网或本地的应用程序对内网web应用进行指纹识别,识别企业内部的资产信息
SSRF中url的伪协议
file:// 从文件系统中获取文件内容,如file://& ...
Web开发入门篇初识Flask框架Flask的作用从博客应用到克隆一个facebook或者twitter,理论上你可以用Flask做任何事情。
有很多库可以直接使用,例如flask-sockets,flask-google-maps等
而且Flask框架支持MySQL、Postgresql、MongoDB等诸多数据库。
可以用Flask框架实现的web应用类型:
博客应用
聊天应用
仪表盘应用
RESTAPI
管理页面
邮件服务等
安装Flask使用pip安装Flask:
在Pycharm打开终端
输入指令,即可安装Flask库
1pip install flask
注:或者在setting中下载也可以
Hello,World创建一个文件app.py,只需简单的代码,即可写出Flask版本的Hello World
源代码:
123456789from flask import Flaskapp = Flask(__name__)@app.route('/')def hello_world(): return 'Hello, ...
Python基础语法第一个 Python 程序1print ("Hello, Python!")
输出结果如下:
1Hello, Python!
Python 标识符在 Python 里,标识符由字母、数字、下划线组成。
在 Python 中,所有标识符可以包括**英文、数字以及下划线(_)**,但不能以数字开头。
Python 中的标识符是区分大小写的。
以下划线开头的标识符是有特殊意义的。
以单下划线开头 _foo 的代表不能直接访问的类属性,需通过类提供的接口进行访问,不能用 from xxx import * 而导入。
以双下划线开头的 __foo 代表类的私有成员,以双下划线开头和结尾的 foo 代表 Python 里特殊方法专用的标识,如 init() 代表类的构造函数。
Python 可以同一行显示多条语句,方法是用分号 ; 分开,如:
123>>> print ('hello');print ('runoob');hellorunoob
Python 保留字符下面的列表显 ...
