ZSSのW啥都学

我是一个菜鸡在网上文章都是写的很简单启动容器就可以访问web了。我查看检验值也是一样的，但是我怎么访问不了那？？？？？我进入容器发现他根本就没有启动AWVS服务，在物理机也是这样，他怎么能访问的那？？？？我最烦写文章不写全的人了迷惑行为现在网上有很多，就写那前面一点点然后叫中间的不写直接写就写测试的效果了？？？？？？？？？我感觉写文章就是叫被人看的，你写成那样为了什么，为了迷惑别人，自学都比容易何必那 其他就不废话了开始安装我的阿里云系统是Ubuntu 什么是DockerDocker 是一个开源的应用容器引擎 他可以解决环境不一致，叫整个环境打包成一个集装箱，然后别人下载下来运行就不会出错了 容器是完全使用沙箱机制，就是隔离型，他运行的时候会在Linux内核里面开辟一个空间，这个空间不会影响其他的东西 虚拟机会站很大的空间，虚拟机会创建一个内核， Docker与虚拟机的区别docker有着比虚拟机更少的抽象层Docker用的是物理机的内核vm是自己创建一个内核环境所以会变的很慢 Docker的安装他有Docker-ce版本的介绍社区版本的和Docker-ee企业版本 kali安装运行 ...

漏洞简介CVE-2017-11882属于缓冲区溢出类型漏洞，产生漏洞原因于EQNEDT32.EXE（微软office自带公式编辑器）进程在读入包含MathType的ole数据时，在拷贝公式字体名称（Font Name数据）时没有对名称长度进行校验，导致缓冲区溢出。通过覆盖函数的返回地址，可执行任意代码。 2017年11月14日，微软发布了11月份的安全补丁更新，影响流行的所有Office版本 事件属性名 作用 漏洞ID CVE-2017-11882 漏洞名称 Microsoft Office数学公式编辑器内存损坏漏洞 漏洞类型 远程代码执行 威胁类型 栈溢出 影响版本 Microsoft Office 2000/2003/2007sp3/2010sp2/2013sp1/2016 环境介绍攻击：kali IP：192.168.31.14受害者：windows7 IP：192.168.31.55 Microsoft Office2016版本漏洞文件生成https://github.com/Ridter/CVE-2017-11882 EXP下载地址h ...

SSRF说明SSRF就是，一个web功能是通过本服务器来访问其他的web，比如web服务提供访问其他网页或照片的功能黑客就可以通过你提供的web访问其他网页的功能进行内网探测和端口扫描等操作 实验环境搭建Vulhub是一个面向大众的开源漏洞靶场，无需docker知识，简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像 下面是他的安装 安装pipkali可以直接用下面这个命令进行下载 1apt install python3-pip 如果是其他的其他可以用下面进行下载和安装下载官方:https://pypi.org/project/pip/#files运行下面这个命令进行下载 1curl https://bootstrap.pypa.io/get-pip.py -o get-pip.py 安装 1python3 get-pip.py 安装compose用pip进行下载上面已经说这么安装pip了下载命令 1pip3 install docker-compose 或者用这个下载也可以 1apt install docker-compose 下载v ...

Vulhub的github地址https://github.com/vulhub/vulhub 什么是VulhubVulhub是一个面向大众的开源漏洞靶场，无需docker知识，简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像 安装pipkali可以直接用下面这个命令进行下载 1apt install python3-pip 如果是其他的其他可以用下面进行下载和安装下载官方:https://pypi.org/project/pip/#files运行下面这个命令进行下载 1curl https://bootstrap.pypa.io/get-pip.py -o get-pip.py 安装 1python3 get-pip.py 安装compose用pip进行下载上面已经说这么安装pip了下载命令 1pip3 install docker-compose 或者用这个下载也可以 1apt install docker-compose 下载vulhub命令 1git clone https://github.com/ ...

什么是DockerDocker 是一个开源的应用容器引擎 他可以解决环境不一致，叫整个环境打包成一个集装箱，然后别人下载下来运行就不会出错了 容器是完全使用沙箱机制，就是隔离型，他运行的时候会在Linux内核里面开辟一个空间，这个空间不会影响其他的东西 虚拟机会站很大的空间，虚拟机会创建一个内核， Docker与虚拟机的区别docker有着比虚拟机更少的抽象层Docker用的是物理机的内核vm是自己创建一个内核环境会变的很慢 Docker的安装他有Docker-ce版本的介绍社区版本的和Docker-ee企业版本 kali安装运行下面这个命令就可以直接安装 1apt install docker.io 如果是其他的linux可以用下面这个命令安装 1curl -s https://get.docker.com/ | sh Docker的卸载卸载依赖 1sudo yum remove docker-ce docker-ce-cli containerd.io 卸载资源 1sudo rm -rf /var/lib/docker ...

什么是XMLHttpRequestXMLHttpRequest 对象用于同幕后服务器交换数据。这意味着可以更新网页的部分，而不需要重新加载整个页面。 XMLHttpRequest他是用http实现的通信 XMLHttpRequest的方法 方法 描述 open("请求类型","URL") 请求类型 GET 或 POST，url：文件位置 send() 将请求发送到服务器，用于 GET 请求 send("数据内容") 将请求发送到服务器，用于 POST 请求 abort() 取消当前请求 getAllResponseHeaders() 返回头部信息 getResponseHeader() 返回特定的头部信息 setRequestHeader() 向要发送的报头添加标签/值对 XMLHttpRequest的属性 方法 描述 readyState 0：请求未初始化1：服务器连接已建立2：请求已收到3：正在处理请求4：请求已完成且响应已就绪 responseText 返回响应数据以 ...

在使用 JavaScript 编写 Web 代码时，有许多 Web API 可供调用。下面是开发Web应用程序或网站时可能使用的所有API和接口（对象类型）的列表。 官方文档[https://developer.mozilla.org/zh-CN/docs/Web/api][https://developer.mozilla.org/zh-CN/docs/Web/api] DOM介绍比如a.html这个a.html就是一个文档对象下面这个是文档对象的模型 document对象就代表整个网页的对象 document基本使用document对象使我们可以从脚本中对 HTML 页面中的所有元素进行访问document他是一个全局属性，在一个web页面里面那个地址都可以访问他比如 1<p id="a">你好啊</p> 在js里面怎么调用他用document的getElementById的方法 1document.getElementById("id的值") 全部代码 12345678910111213<html>&l ...

ajax介绍Ajax 即“Asynchronous Javascript And XML”（异步 JavaScript 和 XML），是指一种创建交互式、快速动态网页应用的网页开发技术，无需重新加载整个网页的情况下，能够更新部分网页的技术。通过在后台与服务器进行少量数据交换，Ajax 可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下，对网页的某部分进行更新。 简单理解就是不要刷新就能返回的东西

下面是光介绍HTML的，没有交换过程 常见的表单的标签 标签 作用 <form> 定义表单 <input> 输入区域 <select> 选项组 <option> 下拉列表中的选项在<select> 选项组里面 <textarea> 文本域 <legend> 域标题 <form>标签 常见的属性 作用 action 指定叫表单提交那 method 的 HTTP 方法比如get post target 提交后在新窗口中打开 表单定义<form> 定义表单表单是一个包含表单元素的区域 action属性指定叫表单提交那用action属性指定发往那去下面这样是提交到当前页面 123<form action"#"> .......</form> 下面是提交到a.php里面 123<form action"a.php"> .......</ ...

创建一个对象语法 这个Object()对象 1var a = new Object(); 添加对象里面的属性值1234//创建一个对象var a = new Object(); //添加对象里面的属性值 a.name='abc'; 读取对象下面这个是整个读取事例 1234567891011121314151617181920<html><head> <meta charset="utf-8"/> <title>测试</title></head><body><script type="text/javascript"> //创建一个对象 var a = new Object(); //添加对象里面的属性值 a.name='abc'; a.gender=123456; console.log(a); </script></bod ...