技术标签: 网络安全
1,在未安装过Docker的机器上,root权限执行如下命令即可一键安装最新版Docker:
curl -s https://get.docker.com/ | sh
2,安装docker-compose:
pip install docker-compose
此时发现需要Python3版本而且没有安装PiP
3,安装python3和pip
a,切换到家目录下载好文件包好找:cd
b,下载python-3.7.0.tar
wget https://www.python.org/ftp/python/3.7.0/Python-3.7.0.tar.xz
c,安装依赖包
yum -y install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gdbm-devel db4-devel libpcap-devel xz-devel kernel-devel libffi-devel
d,解压并进入解压后的目录
# 解压
tar -Jxvf Python-3.7.0.tar.xz# 选择文件夹
cd Python-3.7.0
e,编译与安装
# 预编译
./configure prefix=/usr/local/python3# 编译安装
make && make install
f,进行软链接
# 软链接
ln -s /usr/local/python3/bin/python3 /usr/bin/python3
什么是软链接?
软链接:在文件里存储一个 “跳转提示”,相当于”快捷方式“。
软链接也是一个文件,当引用这个文件时,去找另一个文件,另一个文件的绝对/相对路径以文本形式存储在文件里可以跨文件系统、可以链接目录、……好处多多。
甚至,符号链接可以指向一个暂时不存在的文件或目录,只要这个不存在文件或目录将来某天存在了,这个符号链接就会生效
ln -s 创建软链接,用的是symlink 系统调用。现在系统中/lib下的共享库,通常都是软链接。软连接的一个最简单的理解:就相当于Windows中的快捷方式文件,但是软连接不仅可以链接文件,还可以链接目录。
例如:不建立软链接的话,直接在命令面板输入python3会出现“command not found...”,建立软链接以后,直接输入“Python3”就会进入到python面板
g,安装PiP
curl -s https://bootstrap.pypa.io/get-pip.py | python3
对PiP进行软链接:
ln -s /usr/local/python3/bin/pip3.7 /usr/bin/pip
验证是否成功
4,此时再安装docker-compose:
pip install docker-compose
对docker-compose进行软链接
ln -s /usr/local/python3/bin/docker-compose /usr/bin/docker-compose
验证是否安装成功
docker-compose -v
5,下载Vulhub
二,Apache web服务器配置
a,查看http服务软件是否安装
rpm -q httpd httpd-manual httpd-devel
b,下载rpm包
mkdir /soft/httpd 创建文件夹
yum install -y httpd httpd-manual httpd-devel --downloadonly --downloaddir=/soft/httpd/
c,查看下载的rpm包
d,安装所需的rpm包
rpm -ivh --force --nodeps *.rpm
e,启动httpd服务
web服务器的配置文件:/etc/httpd/conf/httpd.conf
f,测试:
上传index.html文件到/var/www/html
打开浏览器,输入web服务器的地址,
三,Thinkphp5 5.0.22/5.1.29 远程执行代码漏洞 启动
1,cd 到该漏洞的目录
cd vulhub/thinkphp/5-rce
在该目录下输入以下命令:
docker-compose up -d
出现下面这个页面
在网上查了下是docker没启动
开启docker:systemctl start docker
再次输入:docker-compose up -d,
出现下面的页面说明成功
关闭漏洞环境:
docker-compose down
四,失效的访问控制
Redis 4.x/5.x 主从复制导致的命令执行 Path redis/4-unacc
Redis Lua沙盒绕过命令执行(CVE-2022-0543) Path redis/CVE-2022-0543
五,服务端请求伪造
Weblogic SSRF漏洞 Path weblogic/ssrf
六,反序列化
java:
Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)
JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)Path jboss/CVE-2017-12149
fastjson 1.2.24 反序列化导致任意命令执行漏洞 Path fastjson/1.2.24-rce
Fastjson 1.2.47 远程命令执行漏洞 Path fastjson/1.2.47-rce
七,组件安全
apache:
Apache HTTPD 多后缀解析漏洞 Path httpd/apache_parsing_vulnerability
Apache HTTPD 换行解析漏洞(CVE-2017-15715)Path httpd/CVE-2017-15715
Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)Path shiro/CVE-2016-4437
Tomcat7+ 弱密码 && 后端 Getshell 漏洞 Path tomcat/tomcat8
Aapache Tomcat AJP 任意文件读取/包含漏洞(CVE-2020-1938)Path tomcat/CVE-2020-1938
nginx:
Nginx 解析漏洞复现 Path nginx/nginx_parsing_vulnerability
Nginx 文件名逻辑漏洞(CVE-2013-4547)Path nginx/CVE-2013-4547
Nginx 配置错误导致漏洞 Path nginx/insecure-configuration
文章浏览阅读1.1k次。TIMESTAMPDIFF() 函数将计算两个日期或日期时间表达式之间的整数时间差。其中,我们可以通过参数指定时间差的单位,如:秒、分钟、小时等。语法:TIMESTAMPDIFF(interval,datetime1,datetime2)参数说明:interval:日期比较返回的时间差单位。可以使如下值:FRAC_SECOND:表示间隔是毫秒SECOND:秒MINUTE:分钟HOUR:小时DAY:..._mysql timestamp 作差
文章浏览阅读6.1k次,点赞7次,收藏28次。本题要求编写程序计算某年某月某日是该年中的第几天。输入格式:输入在一行中按照格式“yyyy/mm/dd”(即“年/月/日”)给出日期。注意:闰年的判别条件是该年年份能被4整除但不能被100整除、或者能被400整除。闰年的2月有29天。输出格式:在一行输出日期是该年中的第几天。输入样例1:2009/03/02输出样例1:61输入样例2:2000/03/02输出样例2:62思路:根据每年小于等于7的月份中,偶月份为30天,奇月份每月31天,2月份除外,2月份闰年29天,非闰年_7-1 计算天数pta
文章浏览阅读1.3w次,点赞3次,收藏16次。通过UV和色卡来完成简单的上色原先我们的上色方式是通过导出模型的UV图,然后对UV模块分别进行上色,这种方式呢,过于复杂,而且对导出的UV布局图要求过高。之后在完善项目的时候,发现大佬们好像都是用的色卡来完成的模型上色,当时百思不得其解,现在专门学习了一下,原来是一个很简单的事情。1、准备一张色卡,并且在blender中对映材质这里呢我提供了一张包含一些绿色和橙色系得简单色卡,大家可以用PS自己取色扩充,如下图所示。接下来把这张色卡图拖入到shading中得节点面板,便会生成一个节点,并且连接当_blender上色
文章浏览阅读548次。noi题库1017. 价格查询题目描述编程实现以下功能:查询水果的单价。有4种水果,苹果(apples)、梨(pears)、桔子(oranges)和葡萄(grapes),单价分别是3.00元/公斤,2.50元/公斤,4.10元/公斤和10.20元/公斤。运行程序后,首先在屏幕上显示以下菜单(编号和选项)(见样例)。当用户输入编号1~4,显示相应水果的单价(保留1位小数);输入0,退出查询;输入其他编号,显示价格为0。输入输入一个整数。输出输出对应的结果。样例输入3样例输入[1] ap_有四种水果:苹果(apples)、梨(pears)、橘子(oranges)和葡萄(grapes),单价分别是3.
文章浏览阅读7k次。效果图CF_api_get_zone_ids.php<?php /** * Title: 获取CloudFlare上的所有域名的ID (zone_identifier) * Author: Rudon <[email protected]> * Date: 2019-03-08 * * https:..._cloudflare怎么导出所有域名
文章浏览阅读640次。生活品质的提升,促进了人们对医疗健康领域的进一步关注。然而我国人口基数庞大、医疗资源缺稀,“看病难、看病贵”一直是政府、社会与民众难以调和的矛盾。移动物联网卡的出现使医疗救治难题出现新的曙光。作为实现万物互联的核心节点,移动物联网卡智慧医疗把医疗设备、监控系统、医疗数据等内容连接压缩起来,架构新型的物联网卡智慧医疗体系。移动物联网卡智慧医疗的出现是一项利国利民的重要项目,对促进和谐社会、构建智慧城..._中移物联网医院
文章浏览阅读889次。windows服务器使用的远程连接端口默认 3389 查询max 记录: nslookup dig postfix的配置文件main,cf中以下哪个参数是设置邮件大小的,message_size_limit打开网站,出现以下错误Fatal error: Unable to read **** bytes in或者是Fatal error: Corrupte..._让一个使用者bobby能够进行cp/dirl/file/dir2的指令时,请说明dirl、file、dir
文章浏览阅读2.4k次,点赞9次,收藏73次。学长学姐回忆版本6-11今天一气呵成上传系列,就是脖子有点酸题组六1.大小写转换2.计算有多少个盈数3.输出最大值,平均数和及格人数4.统计字母个数5.学生类..._北邮c++期末考试
文章浏览阅读2.4k次,点赞4次,收藏5次。本来发现airtest,以为是个神器,终于可以摆脱按键精灵的束缚了,结果好家伙,这个玩意就是网易开发的bug集,全是bug,一步一步踩坑过来的,以下为记录的bug以及应对方法:(PS:移动原生的测试人员建议直接用poco吧,坑太多,不建议踩,而且它也是调用的poco)一、OpenCV Error: Assertion failed cv2.error: C:\projects\opencv-python\opencv\modules\imgproc\src\color.cpp:9716: error.._cannot find any visible node by query uiobjectproxy of
文章浏览阅读7.4k次,点赞9次,收藏23次。以下内容源于网络资源的学习与整理,如有其侵权请告知删除。_汇编语言编译器
文章浏览阅读99次。百科x混知:图解国际资金清算系统发展历程1973年5月,来自美国、加拿大和欧洲的15个国家的239家银行宣布正式成立SWIFT,其总部设在比利时的布鲁塞尔,它是为了解决各国金融通信不能适应国际间支付清算的快速增长而设立的非盈利性组织,负责设计、建立和管理SWIFT国际网络,以便在该组织成员间进行国际金融信息的传输和确定路由。国际资金清算系统(SWIFT)由环球同业银行金融电讯协会管理,SWIFT的使用,使银行的结算提供了安全、可靠、快捷、标准化、自动化的通讯业务,从而大大提高了银行的结算速度。_信用证swift是实时的吗
文章浏览阅读2.5k次。这几天做了个时间轴展示程序,为了测试,把windows系列的出品时间作为例子,效果如下:在制作的过程,勾起了我曾经熟悉的一个个画面,算算,从大三学习科普课, 接触了小型机学习basic算起,使用电脑历史也有25年了,作为业余程序员也有20年了,一下这些曾经熟悉的东西,你还认识吗,你也接触过吗?dos ucdos(中文系统) wps(排版编辑软件) dbase3(数据库管理系统) Foxbase(_java时光记忆项目