PHP
LAMP+WordPress
操作系统:Centos 8-Stream IP:192.168.88.128,等下访问网页都是用这个IP访问 apache的服务和php服务采用源码安装的方式,mysql数据库采用yum安装mariadb的方式 安装配置apache服务 安装apr,apr-util,httpd 安装apr 安装apr-util 安装httpd 解压安装包 安装所需包 安装apr,执行c
代码执行&&命令执行
代码执行 当应用在调用一些能将字符串转化成为代码的函数(比如php中的eval、assert等),没有考虑到用户能否控制这个字符。将会造成代码执行 使用方法:<?php eval($_GET['cmd']);?> 访问:xx.php?x=phpinfo(); 注意,eval不属于函数而属于结构体,所以在构造回调函数得到后门时,eval函数无法使用时可用assert函数代替 asse
thinkphp5兼容PostgreSql的model操作
1、简单说明 旧的项目使用的 ThinkPHP 5.0 ; Model配置PostgreSql会出现各种报错; model一般配置 class Demo extends Model { protected $connection = 'pgsql'; protected $table = 'xxx.xxx'; } 2、兼容性修改 1)在pgsql库上运行sql文件(thinkp
web安全之文件上传漏洞、文件包含漏洞
文件上传 原理:对上传的文件未进行过滤,或者过滤不严,导致恶意文件被成功上传到网站。 防御:代码加强、WAF拦截、webshell查杀、正则搜索网站目录是否存在eval等敏感字段。 前端JS绕过 更改前端限制 burp抓包 MIME绕过 content-type篡改 文件上传练习靶场 uploadlabs 下载地址: 漏洞利用 文件头欺骗 &
支持复制粘贴word公式的富文本编辑器
由于工作需要必须将word文档内容粘贴到编辑器中使用 但发现word中的图片粘贴后变成了file:///xxxx.jpg这种内容,如果上传到服务器后其他人也访问不了,网上找了很多编辑器发现没有一个能直接解决这个问题 考虑到自己除了工作其他时间基本上不使用windows,因此打算使用nodejs来解决这一问题 发现不管什么编辑器只要将图片转换成base64后就可以直接使用(IE8及一
web安全之反序列化漏洞
一、基本概念 什么是序列化 序列化:将对象转化为字符串的过程,便于存储或传输。 类似vm做快照。 什么是反序列化 反序列化:将字符串转化为对象的过程,便于调用。 类似vm恢复快照。 编程基础: class 属性、方法 例:car object 属性、方法  
PHP中的AMQP类
PHP中的AMQP类 标签(空格分隔): php,amqp 官网地址:http://docs.php.net/manual/da/book.amqp.php AMQPConnection AMQPChannel AMQPExchange AMQPQueue AMQPEnvelope
nginx try_files $uri $request_filename $request_uri $document_uri介绍
来源:http://www.shanhubei.com/archives/2619.html try_files try_files 例子: location / { try_files $uri $uri/ /index.php } 首先尝试打开指定path的文件,如果文件不存在,则继续打开下一个文件,如果都打不开则返回500 假设请求为http://www.baidu.com/test
web安全之命令执行、代码执行
基本知识 php中函数与语言结构的区别读取文件函数:readfile('') highlight_file('')输出函数:echo print_r 输入函数: bypass绕过 空格:$IFS$9 $(IFS)关键字flag:flag 拼接ab 反引号`ls`无回显:b
云原生第四周--kubernetes组件详解(下)
Configmap ConfigMap 是一种 API 对象,用来将非机密性的数据保存到键值对中。使用时, Pods 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。 ConfigMap 将你的环境配置信息和 容器镜像 解耦,便于应用配置的修改。 使用场景: 通过Configmap给pod定义全局环境变量 通过Configmap给pod传递命令行参数,如mysql -u -p中的账户名密
支持复制粘贴word公式的文本编辑器
图片的复制无非有两种方法,一种是图片直接上传到服务器,另外一种转换成二进制流的base64码 目前限chrome浏览器使用 首先以um-editor的二进制流保存为例: 打开umeditor.js,找到UM.plugins['autoupload'],然后找到autoUploadHandler方法,注释掉其中的代码。 加入下面的代码: //判断剪贴板的内容是否包含文本 //首先解释
如何将word公式粘贴到wordpress里面
图片的复制无非有两种方法,一种是图片直接上传到服务器,另外一种转换成二进制流的base64码 目前限chrome浏览器使用 首先以um-editor的二进制流保存为例: 打开umeditor.js,找到UM.plugins['autoupload'],然后找到autoUploadHandler方法,注释掉其中的代码。 加入下面的代码: //判断剪贴板的内容是否包含文本 //首先解释
Linux系统,使用PHP连接ORACLE数据库
首先安装ORACLE的InstantClient环境:在这里下载 因为我需要连接11.2.0.4.0版本的ORACLE数据库,所以选取下载了basic-11.2.0.4.0-1.x86_64.rpm和devel-11.2.0.4.0-1.x86_64.rpm, 使用如下命令安装: 64位系统需要创建32位对应的软链接,原因不明,但经实测如果不创建、后续安装扩展时的编译过程确实
hackthebox --aragog
主机发现与爆破 nmap -sT --min-rate 10000 10.10.10.78 nmap -sT -sV -sC -O -p22,21,80 10.10.10.78 发现有ftp匿名登陆 └─$ ftp 10.10.10.78 Connected to 10.10.10.78.220 (vsFTPd 3.0.3)Name (10.10.10.78:kali): anon
支持复制粘贴word公式的百度Web编辑器
自动导入Word图片,或者粘贴Word内容时自动上传所有的图片,并且最终保留Word样式,这应该是Web编辑器里面最基本的一个需求功能了。一般情况下我们将Word内容粘贴到Web编辑器(富文本编辑器)中时,编辑器都无法自动上传图片。需要用户手动一张张上传Word图片。如果只有一张图片还能够接受,如果图片数量比较多,这种操作就显得非常的麻烦。 1、只粘贴图片并上传到服务器 conf
源代码管理工具——GitHub
目录 一、GitHub简介 二、GitHub与eclipse的连接 三、小组协作 四、总结与体会 一、GitHub简介 GitHub是一个面向开发者的代码托管平台,提供了版本控制、协作和代码托管的功能。它为开发者提供了一个集中存储、管理和分享代码的平台,让团队成员能够共同协作开发项目。 以下是GitHub的一些主要特点和功能:·代码托管:GitHub允许开发者将代码存储在云端,并通过
ctfshow终极考核
信息收集 这个环境就只涉及目录扫描了 /robots.txt得到source.txt 访问发现是某个php文件的源码 Web640 访问就可以拿到 Web641 favicon.ico、/admin/等等返回的响应头可以拿到 Web642 泄露了后台地址 Web643 /system36d/login.php 可以看到登录页面,抓包发现与后端没有交互,应该是在js里面 找到Web6
php实现占位符模板替换
php实现占位符模板替换 对接过微信模板消息,或者阿里大于接口的,应该都知道,三方会给你一些模板,模板里有一些占位符,你只需要按照模板里的占位符填充参数即可。 demo,实现一个地址跳转系统 用户提供域名和路径参数,系统配置模板即可,用户传参即可替换。
LaTeX 的学习笔记
摘自我的洛谷博客 该文章被打开的次数(包括洛谷平台): (LaTeX) 中所有命令都以开头,后面可以跟一个花括号,代表参数。 documentclass{} 指定了文章类型,有 article(普通文章)、book(书)、beamer(幻灯片),如果要显示中文,有 ctexart(普通文章),ctexbook(书),同时要指定文档的编码类型: 注意:在 (LaTeX) 中如果要换行,需要
fastadmin 只允许在开发环境下执行命令
解决1、设置文件 [ …fastadminapplicationconfig.php ] 中的 app_debug 为 true 即可。 // 应用调试模式// 'app_debug' => Env::get('app.debug', false),//在线命令提示:只允许在开发环境下执行命令 'app_debug'
与世界分享我刚编的mysql http隧道工具-hersql原理与使用
原文地址:https://blog.fanscore.cn/a/53/ 1. 前言 本文是与世界分享我刚编的转发ntunnel_mysql.php的工具的后续,之前的实现有些拉胯,这次重构了下。需求背景是为了在本地macbook上通过开源的mysql可视化客户端(dbeaver、Sequel Ace等)访问我司测试环境的mysql,整个测试环境的如图所示: 那么就有以下几种方式: 客户端直连m
go ceph s3文件管理
导入依赖 创建用户 在初始化连接之前,我们需要创建一个用户得到accessKey和secretKey,新增用户的指令如下: 封装使用 测试 测试时,可以 go run store.go main.go 运行结果
狗堆效应 dog-pile
防止狗堆效应——问题和解决方案 2014 年 7 月 30 日星期三上午 8:56 这是Przemek Sobstel 的客座转贴,他认为 dogpile 效应问题没有得到足够的涵盖,尤其是在 PHP 世界中。原文: 防止dogpile效应。 当缓存过期并且网站同时受到大量请求时,就会发生 Dogpile 效应。根据我在大流量网站上工作的经验,这是我认为最好的最佳解决方案。它在野外成