使用Burp抓到JS文件之后，使用工具去把一些关键的点进行上色，让自己更便捷的寻找数据；以上搜索都是为了寻找链接地址和路径，目的就是为了得到URL上的其他访问，就可以尝试去访问这些地址来看是什么东西，有没有对渗透是有帮助的。在JS中寻找更多的URL地址，在JS代码逻辑（加密算法、APIKey配置、验证逻辑）中进行后期安全测试。包括请求的资源、接口的url，请求的ip和域名，泄漏的证件号、手机号、邮

域”是一个有安全边界的计算机组合（一个域中的用户无法访问另一个域中的资源），域内资源由一台域控制器（Domain Controller，DC）集中管理，用户名和密码是放在域控制器去验证的。• （必须是同一个域中的用户），只能在创建该全局组的域中添加用户和全局组，但可以在域森林中的任何域内指派权限，也可以嵌套在其他组中。域本地组无法嵌套在其他组中。父子域：类比公司总部和公司分部的关系，总部的域称为父

php是一种弱类型语言，对数据的类型要求并不严格，可以让数据类型互相转换。在php中有两种比较符号: 一种是 ==，另外一种是 ===，都是用来比较两个数值是否相等的操作符，但他们也是有区别的:== ：弱等于。在比较前会先把两种字符串类型转成相同的再进行比较。简单的说，它不会比较变量类型，只比较值。=== ：强等于。在比较前会先判断两种字符串类型是否相同再进行比较，如果类型不同直接返回不相等。既比

实战中不会常见，利用条件比较苛刻。默认通过证书认证，起一个数据库作用。主要存放节点的数据，如一些token和证书。攻击23791端口配置映射：第二种：在打开证书校验选项后，通过本地127.0.0.1:2379可免认证访问Etcd服务，但通过其他地址访问要携带cert(证书)进行认证访问，一般配合ssrf或其他利用，较为鸡肋。只能本地访问，直接未授权访问获取secrets和token利用。

实战中不会常见，利用条件比较苛刻。默认通过证书认证，起一个数据库作用。主要存放节点的数据，如一些token和证书。攻击23791端口配置映射：第二种：在打开证书校验选项后，通过本地127.0.0.1:2379可免认证访问Etcd服务，但通过其他地址访问要携带cert(证书)进行认证访问，一般配合ssrf或其他利用，较为鸡肋。只能本地访问，直接未授权访问获取secrets和token利用。

总结一下，该index方法实例化了一个名为parse的对象，并调用了其contents方法，将$this->id、$this->classid和$this->contentModel作为参数传递给该方法，并将方法的返回值输出到浏览器。第二行调用了$temModel对象的contents方法，并传递了$this->id、$this->classid和$this->contentModel作为参数。$

操作系统：win10虚拟机：virtual boxlinux发行版：CentOS7.9linux内核(使用uname -r查看)：3.10.0-957.el7.x86_64master和node节点通信的ip(master)： 10.0.0.198本次搭建的集群共三个节点，包含一个主节点，两个工作子节点：节点 角色 IP根据官方推荐，节点可以是Ubuntu或CentOS操作系统，本次选择使用Cen

查看端口： cat /root/VIPER/nginxconfig/viper.conf ，默认端口为 60000。准备一台linux系统的VPS或虚拟机，首次使用建议虚拟机安装，推荐使用ubuntu系统。查看密码： cat /root/VIPER/docker-compose.yml。访问登录服务器： https://yourip:60000。写入密码到 docker-compose.yml。生

大概看了下是说，可以右键“计算机”，再点击“属性”查看是否有Service Pack 1在Windows版本下列出来，没有则说明系统没安装有SP1。先前安装VMtools的时候不是弹出了要更新到SP1嘛，看了一眼我的虚拟机，确实没有看到SP1相关的内容。直接在虚拟机的浏览器下载的话，自带的IE浏览器太老了，网站打不开，共享文件夹会方便一点，大家也可以用自己的方法，能顺利上传到虚拟机就行。接着我们查

2、点击文件资源管理器，点击此电脑，双击DVD 驱动器(D:)VMware Tools。5、选择微软的window，版本要根据自己的镜像文件来决定，选择好后点击下一步。10、点击是，重启虚拟机，完成VMware Tools的安装。1、选择虚拟机，然后点击 安装 VMware Tools。1、选择虚拟机，然后点击 安装 VMware Tools。1、准备工作已经完成，下面开始进入win10的安装界面