当前位置：首页 > news >正文

网络安全之端口扫描（一）

news 2025/6/26 7:34:10

前置介绍

什么是DVWA？

DVWA（Damn Vulnerable Web Application）是一个专门设计用于测试和提高Web应用程序安全技能的开源PHP/MySQL Web应用程序。它是一个具有多个安全漏洞的故意不安全的应用程序，供安全专业人员、渗透测试人员、学生和开发人员用来练习和提升他们的技能。

DVWA的主要特点：

多种漏洞类型：DVWA包含多种常见的Web应用程序漏洞，如SQL注入、XSS（跨站脚本攻击）、CSRF（跨站请求伪造）、文件包含漏洞、命令注入等。这使用户可以在一个环境中练习和理解不同类型的漏洞。
不同的安全级别：DVWA提供不同的安全级别（低、中、高和不可能），以帮助用户逐步提高他们的技能和理解。这些级别通过改变应用程序代码和配置的复杂性来增加挑战。
教育目的：DVWA的设计初衷是用于教育目的，帮助用户理解和识别Web应用程序中的常见漏洞，以及如何利用这些漏洞。
社区支持和扩展：DVWA有一个活跃的社区，用户可以共享他们的经验、工具和技巧。它还可以与其他安全工具集成，以创建更全面的学习和测试环境。

使用DVWA的注意事项：

安全环境：由于DVWA是故意不安全的应用程序，它应仅在安全和隔离的环境中使用，例如本地虚拟机或专用实验室环境，以防止对生产系统或不安全网络造成影响。
学习和测试目的：DVWA应仅用于合法的学习和测试目的。未经授权的测试或在他人系统上使用可能违反法律法规。

集群环境

k8s-master	192.168.58.231
k8s-node1	192.168.58.232
k8s-node2	192.168.58.233

部署测试用服务（端口扫描目标）

[root@k8s-master ~]# kubectl create namespace security-test
namespace/security-test created
[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: apps/v1
> kind: Deployment
> metadata:
>   name: nginx
>   namespace: security-test
> spec:
>   replicas: 1
>   selector:
>     matchLabels:
>       app: nginx
>   template:
>     metadata:
>       labels:
>         app: nginx
>     spec:
>       containers:
>       - name: nginx
>         image: nginx:latest
>         ports:
>         - containerPort: 80
> EOFdeployment.apps/nginx created

暴露Service（NodePort类型，便于外部访问）

[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: v1
> kind: Service
> metadata:
>   name: nginx
>   namespace: security-test
> spec:
>   type: NodePort
>   selector:
>     app: nginx
>   ports:
>     - port: 80
>       targetPort: 80
>       nodePort: 30080
> EOF
service/nginx created[root@k8s-master ~]# kubectl get pod -n security-test
NAME                    READY   STATUS    RESTARTS   AGE
nginx-585449566-n4nxf   1/1     Running   0          57s

部署带漏洞的Web应用（SQL注入测试目标）

#手动先拉取镜像
[root@k8s-master ~]# docker pull vulnerables/web-dvwa:latest
latest: Pulling from vulnerables/web-dvwa
3e17c6eae66c: Pull complete 
0c57df616dbf: Pull complete 
eb05d18be401: Pull complete 
e9968e5981d2: Pull complete 
2cd72dba8257: Pull complete 
6cff5f35147f: Pull complete 
098cffd43466: Pull complete 
b3d64a33242d: Pull complete 
Digest: sha256:dae203fe11646a86937bf04db0079adef295f426da68a92b40e3b181f337daa7
Status: Downloaded newer image for vulnerables/web-dvwa:latest
docker.io/vulnerables/web-dvwa:latest[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: apps/v1
> kind: Deployment
> metadata:
>   name: dvwa
>   namespace: security-test
> spec:
>   replicas: 1
>   selector:
>     matchLabels:
>       app: dvwa
>   template:
>     metadata:
>       labels:
>         app: dvwa
>     spec:
>       containers:
>       - name: dvwa
>         image: vulnerables/web-dvwa:latest
>         ports:
>         - containerPort: 80
> EOF
deployment.apps/dvwa unchanged
[root@k8s-master ~]# kubectl get pod -n security-test -w
NAME                    READY   STATUS    RESTARTS   AGE
dvwa-5666759b95-bp8zt   1/1     Running   0          72s
nginx-585449566-n4nxf   1/1     Running   0          8m41s

暴露Service（NodePort类型）

[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: v1
> kind: Service
> metadata:
>   name: dvwa
>   namespace: security-test
> spec:
>   type: NodePort
>   selector:
>     app: dvwa
>   ports:
>     - port: 80
>       targetPort: 80
>       nodePort: 30081
> EOF
service/dvwa created

开发Python安全测试脚本

端口扫描

已成功检测到Kubernetes节点192.168.58.232的开放端口（30080和30081）

[root@k8s-master ~]# python3 port_scanner.py --target 192.168.58.232 --start-port 30000 --end-port 30100 --output k8s_ports.txt
[+] 30080/TCP Open
[+] 30081/TCP OpenScan completed in 0:00:00.229895
Open ports saved to k8s_ports.txt
[root@k8s-master ~]# ll
total 436
-rw-------. 1 root root   1244 Dec 25 07:02 anaconda-ks.cfg
-rw-r--r--. 1 root root 238376 Dec 25 08:22 calico.yaml
-rw-r--r--. 1 root root 189916 Dec 25 08:04 calico.yaml.0
-rw-r--r--. 1 root root     12 Mar  9 05:04 k8s_ports.txt
-rw-r--r--. 1 root root   1660 Mar  9 05:03 port_scanner.py
[root@k8s-master ~]# cat k8s_ports.txt 
30080
30081

SQL注入

[root@k8s-master ~]# python3 sql_detector.py --url http://192.168.58.232:30081/login.php --method POST --param username[*] Testing URL: http://192.168.58.232:30081/login.php
[+] Payload成功: ' OR '1'='1
[!] SQL Injection vulnerability detected!

网络安全之端口扫描（一）

前置介绍什么是DVWA？ DVWA（Damn Vulnerable Web Application）是一个专门设计用于测试和提高Web应用程序安全技能的开源PHP/MySQL Web应用程序。它是一个具有多个安全漏洞的故意不安全的应用程序，供安全专业人员、渗透测试人员、…...

编程日记 2025/3/10 21:30:35

HCIE云计算学什么？怎么学？未来职业发展如何？

随着云计算成为IT行业发展的主流方向，HCIE云计算（华为认证云计算专家）作为华为认证体系中的高端认证之一，逐渐成为了许多网络工程师和IT从业者提升职业竞争力的重要途径。那么，HCIE云计算究竟学什么内容，如…...

编程日记 2025/3/10 21:27:31

upload-labs文件上传

第一关上传一个1.jpg的文件，在里面写好一句webshell 保留一个数据包，将其中截获的1.jpg改为1.php后重新发送可以看到，已经成功上传第二关写一个webshell如图，为2.php 第二关在过滤tpye的属性，在上传2.php后使用b…...

编程日记 2025/3/10 21:22:25

操作系统控制台-健康守护我们的系统

引言基本准备体验功能健康守护系统诊断收获提升结语引言阿里云操作系统控制平台作为新一代云端服务器中枢平台，通过创新交互模式重构主机管理体验。操作系统控制台提供了一系列管理功能，包括运维监控、智能助手、扩展插件管理以及订阅服务等。用户可以…...

编程日记 2025/3/10 21:21:24

财务会计域——合并报表系统设计

摘要本文主要介绍了合并报表系统的设计，包括其背景、业务流程和系统架构设计。合并报表系统可自动化生成数据，减少人为错误，确保报表合规。其业务流程涵盖数据收集、标准化、合并调整、报表生成、审核及披露等环节。系统架构设计包括数据接…...

编程日记 2025/3/10 21:14:16

教务考试管理系统-Sprintboot vue

一、前言 1.1 实践目的和要求本次实践的目的是为了帮助学生强化对实践涉及专业技术知识的理解，掌握专业领域中软件知识的应用方法，并了解软件工程在具体行业领域的发展趋势。通过培养学生利用软件工程方法分析、设计并完成具体行业软件开发的能力&…...

编程日记 2025/3/10 21:11:11

vue实现一个pdf在线预览，pdf选择文本并提取复制文字触发弹窗效果

[TOC] 一、文件预览 1、安装依赖包这里安装了disjs-dist2.16版本，安装过程中报错缺少worker-loader npm i pdfjs-dist2.16.105 worker-loader3.0.8 2、模板部分 <template><div id"pdf-view"><canvas v-for"page in pdfPages&qu…...

编程日记 2025/3/10 21:10:02

【CSS 】Class Variance Authority CSS 类名管理工具库

1.背景、什么是 CVA？ Class Variance Authority (CVA) 是一个用于管理 CSS 类名的工具库，特别适合在 React 或 Vue 等前端框架中使用。它可以帮助你更轻松地处理组件的样式变体（Variants），比如按钮的不同状态&#…...

编程日记 2025/3/10 21:08:59

自然语言处理：文本分类

介绍大家好，我这个热衷于分享知识的博主又来啦！之前我们一起深入探讨了自然语言处理领域中非常重要的两个方法：朴素贝叶斯和逻辑斯谛回归。在探索的过程中，我们剖析了朴素贝叶斯如何基于概率原理和特征条件独立假设，…...

编程日记 2025/3/10 21:07:57

刷题记录 HOT100 贪心-2：45. 跳跃游戏 II

题目：45. 跳跃游戏 II 难度：中等给定一个长度为 n 的 0 索引整数数组 nums。初始位置为 nums[0]。每个元素 nums[i] 表示从索引 i 向后跳转的最大长度。换句话说，如果你在 nums[i] 处，你可以跳转到任意 nums[i j] 处: 0 &l…...

编程日记 2025/3/10 21:06:52

7.2 奇异值分解的基与矩阵

一、奇异值分解奇异值分解（SVD）是线性代数的高光时刻。 A A A 是一个 m n m\times n mn 的矩阵，可以是方阵或者长方形矩阵，秩为 r r r。我们要对角化 A A A，但并不是把它化成 X − 1 A X X^{-1}A X X−1AX 的形…...

编程日记 2025/3/10 21:05:49

PDFMathTranslate安装使用

PDF全文翻译！！！！ PDFMathTranslate安装使用它是个啥 PDFMathTranslate 可能是一个用于 PDF 文件的数学公式翻译工具。它可能包含以下功能： 提取 PDF 内的数学公式将数学公式转换成 LaTeX 代码翻译数学公式的内…...

编程日记 2025/3/10 20:58:40

STL之list的使用（超详解）

目录一、list的介绍及使用 1.1 list的介绍 1.2 list的使用 1.2.1 list的构造 1.2.2 iterator的使用 1.2.3capacity（容量相关） 1.2.4 element access（元素访问） 1.2.5 modifiers（链表修改）…...

编程日记 2025/3/10 20:53:34

动态 SQL 的使用

目录 1、< if> 标签2、< trim> 标签3、< where> 标签4、< set> 标签5、< foreach> 标签 1、< if> 标签 < if test“条件语句”> xxxx < /if> 只有当条件语句满足条件，才会拼接 < if> 标签内容，因…...

编程日记 2025/3/10 20:51:32

【如何删除在 Linux 系统中的删除乱码文件】

如何删除在 Linux 系统中的删除乱码文件 1. 列出文件并找到乱码文件：2. 使用通配符（谨慎使用）：3. 转义特殊字符：4. 使用 find 命令：5. 使用 inode 号删除文件：6. 图形界面文件管理器&#xff1a…...

编程日记 2025/3/10 20:49:29

防火墙IPSec （无固定IP地址---一对多）

目录前言一、场景： 二、实现 1.拓扑图 2.配置思路 ①基础通信配置 ②PPPoE配置 ③总部的模版IPSec配置 ④分部的IPSec配置 ⑤NAT配置 3.具体配置 ①基础配置 ②详细配置和顺序效果测试： ③PPPOE ①配置PPPoE ②策略放行 ③IPSec与NA…...

编程日记 2025/3/10 20:47:27

基于SpringBoot的智能问诊系统设计与隐私保护策略

通过SpringBoot框架，我们可以快速搭建一个智能问诊系统，为用户提供便捷的线上医疗服务。然而，在系统设计和实现过程中，如何保障用户的隐私和数据安全，始终是一个亟需关注的问题。本文将探讨基于SpringBoot的智能问诊系…...

编程日记 2025/3/10 20:46:25

DeepSeek进阶应用（一）：结合Mermaid绘图（流程图、时序图、类图、状态图、甘特图、饼图）

🌟前言: 在软件开发、项目管理和系统设计等领域，图表是表达复杂信息的有效工具。随着AI助手如DeepSeek的普及，我们现在可以更轻松地创建各种专业图表。名人说：博观而约取，厚积而薄发。——苏轼《稼说送张琥》创作者&…...

编程日记 2025/3/10 20:39:16

Ubuntu 下 nginx-1.24.0 源码分析 - ngx_init_cycle 函数

nei声明在 src/core/ngx_cycle.h ngx_cycle_t *ngx_init_cycle(ngx_cycle_t *old_cycle);实现在 src/core/ngx_cycle.c ngx_cycle_t * ngx_init_cycle(ngx_cycle_t *old_cycle) {void *rv;char **senv;ngx_uint_t i, n;ngx_log_t …...

编程日记 2025/3/10 20:38:15

【redis】数据类型之geo

Redis的GEO数据类型用于存储地理位置信息（如经纬度），并提供高效的地理位置查询功能（如计算两地距离、搜索附近地点等）。其底层基于Sorted Set（有序集合）实现，通过Geohash编码将经纬度…...

编程日记 2025/3/10 20:37:14

SkyWalking 10.2.0 SWCK 配置过程

SkyWalking 10.2.0 & SWCK 配置过程 skywalking oap-server & ui 使用Docker安装在K8S集群以外，K8S集群中的微服务使用initContainer按命名空间将skywalking-java-agent注入到业务容器中。 SWCK有整套的解决方案，全安装在K8S群集中。具体可参…...

编程新知 2025/6/15 20:37:19

Linux链表操作全解析

Linux C语言链表深度解析与实战技巧一、链表基础概念与内核链表优势1.1 为什么使用链表？1.2 Linux 内核链表与用户态链表的区别二、内核链表结构与宏解析常用宏/函数三、内核链表的优点四、用户态链表示例五、双向循环链表在内核中的实现优势5.1 插入效率5.2 安全…...

编程新知 2025/6/21 5:31:03

深入浅出：JavaScript 中的 `window.crypto.getRandomValues()` 方法

深入浅出：JavaScript 中的 window.crypto.getRandomValues() 方法在现代 Web 开发中，随机数的生成看似简单，却隐藏着许多玄机。无论是生成密码、加密密钥，还是创建安全令牌，随机数的质量直接关系到系统的安全性。Jav…...

编程新知 2025/6/15 19:02:54

【CSS position 属性】static、relative、fixed、absolute 、sticky详细介绍，多层嵌套定位示例

文章目录 ★ position 的五种类型及基本用法 ★ 一、position 属性概述二、position 的五种类型详解（初学者版） 1. static（默认值） 2. relative（相对定位） 3. absolute（绝对定位） 4. fixed（固定定位） 5. sticky（粘性定位）三、定位元素的层级关系（z-i…...

编程新知 2025/6/26 1:51:25

页面渲染流程与性能优化

页面渲染流程与性能优化详解（完整版） 一、现代浏览器渲染流程（详细说明） 1. 构建DOM树浏览器接收到HTML文档后，会逐步解析并构建DOM（Document Object Model）树。具体过程如下： (…...

编程新知 2025/6/26 7:14:46

Java-41 深入浅出 Spring - 声明式事务的支持事务配置 XML模式 XML+注解模式

点一下关注吧！！！非常感谢！！持续更新！！！ 🚀 AI篇持续更新中！（长期更新） 目前2025年06月05日更新到： AI炼丹日志-28 - Aud…...

编程新知 2025/6/25 14:53:06

相机Camera日志分析之三十一：高通Camx HAL十种流程基础分析关键字汇总（后续持续更新中）

【关注我，后续持续新增专题博文，谢谢！！！】上一篇我们讲了：有对最普通的场景进行各个日志注释讲解，但相机场景太多，日志差异也巨大。后面将展示各种场景下的日志。通过notepad++打开场景下的日志，通过下列分类关键字搜索，即可清晰的分析不同场景的相机运行流程差异…...

编程新知 2025/6/15 13:22:13

GitHub 趋势日报 (2025年06月08日)

📊 由 TrendForge 系统生成 | 🌐 https://trendforge.devlive.org/ 🌐 本日报中的项目描述已自动翻译为中文 📈 今日获星趋势图今日获星趋势图 884 cognee 566 dify 414 HumanSystemOptimization 414 omni-tools 321 note-gen …...

编程新知 2025/6/17 3:05:21