Day1 基础入门-Web应用&架构搭建&域名源码&站库分离&MVC模型&解析受限&对应路径
Day1 思维导图自制版
一、环境准备
(1)服务器购买
因为不想买个限时的所以买了一个一年的
点这个订购产品
免备案香港1区
根据需求购买就行了
然后在控制台点击刚才购买的服务器
进行远程桌面连接
注意连接格式为实例IP+端口
根据给出的账号信息填写连接即可
连接上去之后的画面
(2)网站搭建
拿上迪总给的资料复制进去
解压宝塔面板,打开一键安装即可
然后打开宝塔面板进行登录
选择nginx套件php版本选择7.3进行安装
如果发现安装没继续进行的情况,只需要进行重启面板就可以了,等待安装完成
我这里就直接一键部署zblog了,因为懒得搞域名就填写自己的公网IP就好了,然后发现他根本没有给我搭建好,那就直接把从网上下载得zblog得源码复制粘贴到这个网站目录下就行了
然后进入安装界面了直接跟着流程走一走
根据宝塔面板里面的数据库进行配置
搭建完成了
二、域名差异-主站&分站&端口站&子站
| 分类 | 思路 |
|---|---|
| 1、主站 | |
| www.baidu.com | 分站与主站如果和主站在同一个服务器上可以走分站打主站 |
 |
|
| 2、分站 | |
| map.baidu.com | |
 |
|
| 3、端口站 | |
| www.baidu.com:443 | 端口扫描 |
| www.baidu.com:80 | 端口扫描 |
 |
|
| 4、目录站 | |
| www.xiaodi8.com/bbs/ | 目录扫描 |
| 5、子站 | |
| 123.blog.xiaodi8.com | 子域名爆破 |
三、源码差异-结构&语言&框架&闭源&加密
1、源码目录结构对应
后台目录,文件目录,逻辑目录,前端目录,数据目录,配置文件等
类似于在这zb_install一看就是安装程序
zb_system就放一些逻辑目录
zb_users就放一些用户数据
2、源码开发语言类型
ASP,ASPX,PHP,Java,Python,Go,Javascript等
3、语言开发框架组件
PHP:Thinkphp Laravel YII CodeIgniter CakePHP Zend等
JAVA:Spring MyBatis Hibernate Struts2 Springboot等
Python:Django Flask Bottle Turbobars Tornado Web2py等
Javascript:Vue.js Node.js Bootstrap JQuery Angular等
4、开源闭源加密类型
开源-如Zblog
闭源-如内部开发
加密-如通达OA
四、数据差异-本地数据&分离数据&云数据库
1、数据库类型:
Access、MYSQL、SqlServer、Oracle、
Redis、DB2、Postgresql、MongoDB等
2、本地数据库:本地服务器搭建
这个就和我上面搭建网站的过程差不多,用的就是本地得数据库
3、分离数据库:另外的服务器搭建
这个主要就是使用另一台服务器启一个数据库然后本地服务器连接到另一个服务器得数据库上
4、云数据库:RDS、OSS等
这是云数据库各大厂家都有,要设置白名单进行连接
核心思想:外联 外部连接
渗透思路:
1、上传一个数据库连接脚本到网站上 访问脚本去让脚本去连接数据库
2、利用网站权限上传代理流量工具 做数据中转的操作 去连接数据库
五、平台差异-中间件类型&系统类型&容器类型
1、系统:Windows、Linux、MacOS等
2、容器:Docker、K8s、Vmware、VirtualBox等
3、中间件:Apache、Nginx、IIS、lighttpd、Tomcat、Jboos、Weblogic、Websphere、Jetty等
六、解析差异-URL路由&绝对相对路径&格式权限
1、URL路由:URL访问对应文件,MVC模型等
框架开发 MVC模型源码 : 根据框架的路由决定
代码审计时 MVC和非MVC模型的源码
2、相对绝对:相对当前目录,完整的目录路径
相对路径
D:\MYOA\webroot\attachment../../=D:\MYOA\ D:\MYOA\webroot\attachment../../../ = D:
D:\MYOA\webroot\attachment../../../D:\aDrive=D:\aDrive
绝对路径
xxx.xiaodi8.com/admin/login.php
3、格式权限:后门解析格式,代码正常执行,脚本执行权限等
后门解析格式,代码正常执行,脚本执行权限等
锁权限就难办咯,办法就是换目录咯
浙公网安备 33010602011771号