漏洞nginx
showDoc漏洞
攻击者使用showDoc的漏洞传播僵尸网络 近日,阿里云安全团队基于威胁情报挖掘网络攻击日志的过程中,发现了使用showDoc漏洞传播僵尸网络和挖矿软件的攻击事件,使用该手法传播僵尸网络暂未被公开报告过。 ShowDoc是一个在线文档分享工具,面向开发者提供针对API接口的文档编写与团队协作功能。早 ......
Nginx上传文件很慢很慢
文章转载自: https://blog.csdn.net/u014240299/article/details/105695993 收到同事反馈,一个上传apk的接口,传一个180多兆的文件,一直转圈,最终提示上传文件失败 Bug所处背景 带宽为10M(手动😳囧的表情,带宽真给力)的云服务器,额, ......
三、使用NFS+Redis实现nginx服务的文件与会话共享
3.1 环境说明 主机 IP地址 备注 NFS+Redis 192.168.1.16 NFS+Redis 实现文件与会话共享 web01 192.168.1.7 挂载nfs共享 web02 192.168.1.8 挂载nfs共享 web03 192.168.1.9 挂载nfs共享 3.2 安装配置N ......
基于mysqludf_sys.so漏洞的提权
基于mysqludf_sys.so漏洞的提权 有时候目标机里会存在mysqludf_sys.so文件,那即表示数据库里可能存在用户自定义的功能函数。 UDF (user defined function),即用户自定义函数。是通过添加新函数,对MySQL的功能进行扩充,其实就像使用本地MySQL函数 ......
Nginx命令
普通启动服务:/usr/local/nginx/sbin/nginx 配置文件启动:/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf 暴力停止服务:/usr/local/nginx/sbin/nginx -s stop 优 ......
【转载】centeros 6.5 离线安装nginx
1、离线安装nginx 前提需要安装gcc 、c++、 pcre、zlib 、openssl和openssl-devel2、安装gcc c++ 参加博客 链接 https://blog.csdn.net/byxdaz/article/details/913709493、pcre安装(pcre 只需解 ......
nginx TCP负载均衡ip哈希写法
stream { upstream netty { hash $remote_addr; server s1:30020; server s2:30020; } server { listen 30001; proxy_pass netty; } } ip_hash这种配置方法在这里报错,需要改成上 ......
Nginx 重写功能(location / rewrite)
目录 一、Nginx常见模块 二、访问路由location 2.1 location常用正则表达式 2.2location的分类 2.3location 常用的匹配规则 2.4location优先级排列说明 2.5location 示例 2.6location 优先级总结 2.7实例 2.7.1lo ......
小皮Windows web面板漏洞详解
PhpStudy国内12年老牌公益软件,集安全、高效、功能与一体,已获得全球用户认可安装,运维也高效。 小皮 Windows web 面板存在存储型 xss 漏洞,结合后台计划任务即可实现 RCE。 ......
Linux&Nginx16_Nginx负载均衡6
一、负载均衡概述 在网站创立初期,我们一般都使用单台机器对外提供集中式服务。随着业务量的增大,我们一台服务器不够用,此时就会把多台机器组成一个集群对外提供服务,但是,我们网站对外提供的访问入口通常只有一个,比如 www.web.com。那么当用户在浏览器输入www.web.com进行访问的时候,如何 ......
《渗透测试》WEB攻防-通用漏洞&SQL读写注入&MYSQL&MSSQL&PostgreSQL 2022 Day25
1 mysql一些命令介绍 1 load_file() 通过select load_file('xx.xx');读取文件 读取文件并返回文件内容为字符串。要使用此函数,文件必须位于服务器主机上,必须指定完整路径的文件,而且必须有FILE权限。 该文件所有字节可读,但文件内容必须小于max_allow ......
nginx 压力测试
ab 安装部署 yum -y install httpd-tools -c 用户数 -n 请求数 [root@localhost ~]# ab -c 10 -n 100 http://112.21.11.79/index.html This is ApacheBench, Version 2.3 < ......
关于根据大佬的 (D-Link DSL-3782 的 CVE-2022-34527 漏洞分析)
关于根据大佬的 (D-Link DSL-3782 的 CVE-2022-34527 漏洞分析) 第一步、提取固件并分析 使用binwalk提取DSL-3782路由器的固件文件, binwalk -Me DSL-3782_A1_EU_1.01_07282016.bin 然后就可以在系统文件里面随意分析 ......
Nginx 重写功能(location / rewrite)
一、Nginx常见模块 http http块是Nginx服务器配置中的重要部分,代理、缓存和日志定义等绝大多数的功能和第三方模块的配置都可以放在这模块中。作用包括:文件引入、MIME-Type定义、日志自定义、是否使用sendfile传输文件、连接超时时间、单连接请求数上限等。 server ser ......
Nginx服务优化与防盗链
一、隐藏nginx版本号 1.1查看版本号 方法一:curl命令 可以在 CentOS 中使用命令 curl -I http://192.168.59.118 显示响应报文首部信息。 curl -I http://192.168.59.118 方法二:在网页中查看 1. #切换至html目录,拖一个 ......
Nginx的搭建与核心配置
nginx是什么? nginx是俄罗斯人 Igor Sysoev为俄罗斯访问量第二的Rambler.ru站点开发的一个十分轻量级的HTTP服务器。它是一个高性能的HTTP和反向代理服务器,同时也可以作为IMAP/POP3/SMTP的代理服务器。nginx使用的是BSD许可。 Nginx 以事件驱动的 ......
Nginx反向代理丢失cookie问题处理
1.host、端口转换,路劲不变,cookie不会丢失location /sjzt { proxy_pass http://127.0.0.1:9081/sjzt;}通过浏览器访问http://127.0.0.1/sjzt时,浏览器正常发送cookie。2.路径发生变化,cookie丢失locati ......
fastjson漏洞利用
基础预备 JNDI java name and directory invoke JNDI是一组应用程序接口 提供了查找和访问命名和目录服务的通用,统一接口 java name and Directory interface RMI RMI 远程方法调用 依赖JRMP Java remote mes ......
Nginx服务优化与防盗链
目录 一、隐藏nginx版本号 1.1查看版本号 方法一:curl命令 方法二:在网页中查看 1.2隐藏版本信息 方法一:修改配置文件 方法二: 修改源码文件,重新编译安装 二、修改用户与组 三、缓存时间 四、日志分割 五、连接超时 六、更改进程数 七、网页压缩 八、配置防盗链 8.1 网页准备 8 ......
变量覆盖--duomicms通杀漏洞
下载源码本地测试 然后进行代码审计 发现这个地方可能存在变量覆盖:/duomiphp/common.php查看包含了common.php的地方 先看看后台登录的地方,调用了common.phplogin.php查看了一下,没有可以构造变量的地方。但是login.php包含了check.admin.p ......
第一章 1.1节 Nginx概念
1.1 Nginx是什么 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、 ......
在Xshell上安装Nginx并配置
打开Xshell,连接到目标服务器。 使用以下命令安装Nginx:sudo apt-get update && sudo apt-get install nginx 安装完成后,使用以下命令启动Nginx服务:sudo systemctl start nginx 检查Nginx是否成功启动:sudo ......
【漏洞复现】Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228)
#【漏洞复现】Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228) 0x01 漏洞描述 Apache Log4j2 是一个基于 Java 的日志记录工具, 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了显着改进,并提供了 Logback 中可 ......
ubuntu22 安装nginx
# sudo apt update # sudo apt install libjasper1 libjasper-dev # sudo apt-get install libgsl-dev .# sudo apt-get install libpcre3 libpcre3-dev # sudo a ......
Linux中查询jdk,nginx,tomcat,redis,mysql的安装位置
一、Linux查询jdk安装的位置 1.检查JDK是否安装 Java –version 2.查找Java命令的位置 which java 二、Linux查询nginx的安装的位置 1.检查是否安装nginx -v或者是nginx -V 2.命令:which Java 三、Linux安装tomcat的 ......
使用Docker安装并启动nginx
1. 在 Docker 镜像仓库查找 nginx 镜像 dockerhub 镜像仓库 或者通过命令 docker search nginx 在宿主机终端查找 2. 拉取 nginx 镜像 # 拉取 nginx 镜像 docker pull nginx # 不加版本号默认下载 latest 版本,即 ......
《渗透测试》WEB攻防-通用漏洞&SQL注入&MYSQL跨库&ACCESS偏移 2022 Day24
1 前置知识: -SQL注入漏洞产生原理分析 攻击者利用服务器中的web应用程序将带有恶意的SQL语句作为Web表单中的参数提交 到服务器,服务器所接受的程序又将带有恶意的SQL语句作为SQL语句中的一个参数执行, 这样根据程序返回的结果攻击者可获得想知道的数据 -SQL注入漏洞危害利用分析 漏洞产 ......
浅析Nginx文件解析漏洞
浅析Nginx文件解析漏洞 本文章将从五个维度对Nginx文件解析漏洞进行剖析——原理、危害、检测、防御、复现 1、原理 Nginx文件解析漏洞的产生原因是由于Nginx配置文件default.conf以及PHP配置文件php.ini的错误配置。 引发该漏洞的错误配置分别如下: Nginx ......
nginx添加ssl模块
背景:之前系统上线的时候不是https部署,现在需要https改造,需要把nginx添加ssl模块 既然之前安装的时候没有编译ssl模块,难道需要把nginx卸载重装?其实不需要,看下面步骤 1 到之前下载nginx包解压缩后的路径 [root@16s9 nginx-1.20.1]# pwd /ro ......
nginx 进行tcpip 数据端口映射
TCP port mapping stream{ upstream tcpLink { hash $remote_addr consistent; server xxx:3306 weight=5 max_fails=3 fail_timeout=30s; } server { listen 700 ......