2024-08-23

Nginx中间件漏洞复现通常涉及到CVE-2019-9193漏洞,该漏洞是因为Nginx在处理包含特制的If-Modified-Since头的请求时,解析日期时间时使用了错误的年份导致的。

以下是复现该漏洞的步骤:

  1. 安装Docker和Docker Compose。
  2. 克隆Vulhub仓库到本地:git clone https://github.com/vulhub/vulhub.git
  3. 进入Nginx相应的环境目录,例如cd vulhub/nginx/CVE-2019-9193
  4. 运行docker-compose up -d启动环境
  5. 使用工具如curl或者wget发送带有特制的If-Modified-Since头的请求。

以下是一个使用curl发送请求的例子:




curl -H 'If-Modified-Since: Sat, 01 Jan 2016 00:00:01 GMT' http://your-nginx-host

如果Nginx版本在2019年9月以后的安全更新补丁发布之前的版本,则可能会出现相应的漏洞。在实际情况中,你需要确保Nginx的版本与漏洞描述相符合,并且使用的If-Modified-Since头也要正确设置。

注意:在实际的渗透测试中,请确保你已经得到了目标的授权,并且不要对任何系统造成破坏。

2024-08-23

以下是一个基于您提出的需求的Nginx配置示例,包括GeoIP2自动更新、防盗链、防爬虫、限制访问速度和限制连接数。

首先,确保你已经安装了Nginx和必要的开发工具。




# 安装Nginx
sudo apt-install nginx
 
# 安装开发工具
sudo apt-get install build-essential libpcre3 libpcre3-dev zlib1g zlib1g-dev libssl-dev

接下来,安装GeoIP2和Nginx的GeoIP2模块:




# 安装GeoIP2库
sudo apt-get install geoip2 libgeoip-dev
 
# 安装Nginx GeoIP2模块
cd /usr/src
sudo git clone https://github.com/leev/ngx_http_geoip2_module.git
cd ngx_http_geoip2_module
sudo ./auto/configure
sudo make
sudo make install

配置Nginx:




# /etc/nginx/nginx.conf
 
events {}
 
http {
    geoip2 /usr/share/GeoIP/GeoLite2-City.mmdb {
        auto_reload 5m;
        $geoip2_metadata_country_build metadata start 2 end 2;
        $geoip2_metadata_city_build metadata start 3 end 3;
    }
 
    server {
        listen 80;
        server_name your_domain.com;
 
        # 防盗链
        valid_referers none blocked server_names *.your_domain.com;
        if ($invalid_referer) {
            return 403;
        }
 
        # 防爬虫
        if ($http_user_agent ~* (Googlebot|Bing|Yahoo|Crawl|Flickr|Twitter)) {
            return 403;
        }
 
        # 限制访问速度
        limit_rate_after 1m;
        limit_rate 50k;
 
        # 限制连接数
        limit_conn_zone $binary_remote_addr zone=perip:10m;
        limit_conn_status 429;
        limit_conn_track_key $binary_remote_addr;
        limit_conn_zone $server_name zone=perserver:10m;
 
        location / {
            # 根据不同的国家设置不同的访问速度
            set $limit_rate 50k;
            if ($geoip2_data_country_code = "CN") {
                set $limit_rate 100k;
            }
            limit_rate $limit_rate;
 
            # 根据不同的国家设置不同的最大连接数
            set $limit_conn "32";
            if ($geoip2_data_country_code = "CN") {
                set $limit_conn "64";
            }
            limit_conn $limit_conn perip;
            limit_conn $limit_conn perserver;
 
            root /var/www/html;
            index index.html index.htm;
        }
    }
}

确保你已经下载了GeoLite2的数据库文件,并放置在正确的目录下。你可以从MaxMind官网获取这个数据库文件。




# 下载GeoLite2数据库
cd /usr/share/GeoIP/
sudo wget https://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz
sudo gunzip GeoLite2-City.mmdb.gz
sudo chmod 644 GeoLite2-City.mmdb

最后,重启Nginx以应用新的配置:




sudo systemctl restart nginx

这个配置示例提供了一个基本框架,你可以根据自己的需求进行调整和增强

2024-08-23

在Nginx中配置后端网关,通常是为了反向代理到实际处理请求的服务。以下是一个简单的Nginx配置示例,它将外部请求映射到内部网关路径:




http {
    # ...
 
    server {
        listen 80; # 监听的端口
        server_name your-domain.com; # 你的域名
 
        location /api/ {
            proxy_pass http://backend-gateway-url/; # 内部网关URL
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        }
 
        # 其他配置...
    }
 
    # ...
}

在这个配置中,当外部请求到达 /api/ 路径时,它们会被转发到指定的后端网关URL。proxy_pass 指令定义了实际处理请求的后端服务地址。proxy_set_header 指令用于设置转发给后端服务时的请求头,以确保后端服务可以获取到正确的原始请求信息。

确保替换 your-domain.comhttp://backend-gateway-url/ 为实际使用的域名和后端网关URL。

2024-08-23

Open-Falcon是一个用于系统监控和告警的开源框架。以下是Open-Falcon的介绍、安装、以及监控MySQL、Redis、MongoDB和RabbitMQ的基本步骤。

  1. 介绍:

    Open-Falcon是一个轻量、高效的开源监控框架,它提供了数据采集、数据处理、数据存储、数据查询、告警等一系列功能。

  2. 安装:

    首先,确保你的机器上安装了Go环境。

安装Open-Falcon的步骤大致如下:




# 克隆代码库
git clone https://github.com/open-falcon/falcon-plus.git
cd falcon-plus
 
# 编译
./bootstrap.sh
 
# 配置
cp cfg/cfg.example.json cfg/cfg.json
# 修改配置文件,根据实际情况配置数据库、Redis等
 
# 启动
./open-falcon start
  1. 监控MySQL:

    为了监控MySQL,你需要在MySQL上安装一个插件,并配置Open-Falcon的agent来采集数据。

  2. 监控Redis:

    Redis的监控通常是通过redis-cli的信息命令来实现的。你需要在agent上安装redis-cli,并编写相应的监控脚本。

  3. 监控MongoDB:

    MongoDB的监控可以通过mongo shell的db.stats()db.serverStatus()命令来实现监控脚本。

  4. 监控Rabbitmq:

    为了监控Rabbitmq,你需要在agent上安装Rabbitmq的管理插件,并编写相应的监控脚本。

以上步骤提供了一个大致的框架,实际部署时需要根据具体环境进行调整。

2024-08-23

以下是一个基于Docker的ThinkPHP5项目本地部署的示例。

  1. 创建一个新的目录用于存放Docker相关文件。
  2. 创建一个名为Dockerfile的文件,用于构建ThinkPHP5的Docker镜像。
  3. 创建一个名为docker-compose.yml的文件,用于定义Docker容器的网络和服务。

Dockerfile




FROM php:7.4-fpm
 
# 安装PDO扩展
RUN docker-php-ext-install pdo pdo_mysql
 
# 安装ThinkPHP5框架
RUN curl -sS https://getcomposer.org/installer | php -- --install-dir=/usr/local/bin --filename=composer
RUN composer require topthink/framework 5.*
 
# 配置Nginx
RUN apt-get update && apt-get install -y nginx
RUN echo "\ndaemon off;" >> /etc/nginx/nginx.conf
 
# 复制Nginx配置文件和ThinkPHP应用
COPY nginx.conf /etc/nginx/conf.d/default.conf
COPY ./thinkphp /var/www/html/
 
# 暴露80端口
EXPOSE 80
 
# 启动Nginx和PHP-FPM
CMD service php7.4-fpm start && nginx -g 'daemon off;'

docker-compose.yml




version: '3'
 
services:
  web:
    build: .
    ports:
      - "8080:80"
    volumes:
      - ./thinkphp:/var/www/html
    depends_on:
      - db
  
  db:
    image: mysql:5.7
    environment:
      MYSQL_ROOT_PASSWORD: root
      MYSQL_DATABASE: your_database
    ports:
      - "33060:3306"

Nginx配置文件(nginx.conf)




server {
    listen       80;
    server_name  localhost;
 
    location / {
        root   /var/www/html/public;
        index  index.php index.html index.htm;
        try_files $uri $uri/ /index.php?$query_string;
    }
 
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
 
    location ~ \.php$ {
        fastcgi_pass   php:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  /var/www/html/$fastcgi_script_name;
        include        fastcgi_params;
    }
}

在这些文件的同一级目录下,执行以下命令来启动容器:




docker-compose up -d

这将会启动一个包含Nginx、PHP-FPM和MySQL的Docker容器。你可以通过访问http://localhost:8080来查看你的ThinkPHP5应用。

注意:

  • 确保你的ThinkPHP5应用已配置好数据库连接。
  • 根据你的ThinkPHP5应用的具体配置,可能需要调整Nginx配置文件和docker-compose.yml中的配置。
2024-08-23

以下是一个简化的示例,展示如何使用Docker命令行部署Nginx、Tomcat和MySQL的Docker容器。

首先,确保你已经安装了Docker。

  1. 部署Nginx容器:



docker run --name my-nginx -p 80:80 -d nginx
  1. 部署Tomcat容器:



docker run --name my-tomcat -p 8080:8080 -d tomcat
  1. 部署MySQL容器:



docker run --name my-mysql -e MYSQL_ROOT_PASSWORD=my-secret-pw -p 3306:3306 -d mysql

在这些命令中,--name 参数为容器指定了一个名称,-p 参数将容器端口映射到了主机端口,-d 参数表示以后台方式运行容器。对于MySQL,-e MYSQL_ROOT_PASSWORD=my-secret-pw 设置了root用户的密码,并将容器的3306端口映射到主机的3306端口。

请注意,这些命令假设你已经有了Docker运行环境,并且你的用户有权限执行Docker命令。如果你在运行MySQL容器时遇到权限问题,可能需要使用 sudo 来获取必要的权限。

2024-08-23

Nginx 本身不支持直接代理 MySQL 连接,因为 Nginx 是一个 HTTP 和反向代理服务器,而 MySQL 通常通过 TCP 连接。不过,你可以使用 Nginx 的 TCP 负载均衡功能来将 MySQL 连接请求代理到后端的 MySQL 服务器。

以下是一个简单的配置示例,展示如何设置 Nginx 以代理 MySQL 连接请求:




stream {
    upstream mysql_backend {
        server mysql1.example.com:3306;
        server mysql2.example.com:3306;
    }
 
    server {
        listen 3306;
        proxy_pass mysql_backend;
        proxy_connect_timeout 1s;
    }
}

在这个配置中:

  • upstream mysql_backend 定义了一个后端服务器组,包含了多个 MySQL 服务器地址和端口。
  • server 块中的 listen 3306 指令让 Nginx 监听本地的 3306 端口,这是 MySQL 的默认端口。
  • proxy_pass mysql_backend 指令将收到的 TCP 连接请求代理到定义的后端服务器组。
  • proxy_connect_timeout 1s 指定了连接到后端服务器的超时时间。

确保你的 Nginx 版本支持 stream 模块,通常这需要 Nginx 的商业版或者在编译时包含该模块。

请注意,代理 TCP 连接可能会带来安全风险,因为原始的 MySQL 认证数据可能会通过网络以明文形式传输,所以应当结合其他安全措施,比如使用 VPN 或者专用网络。

2024-08-23

将SpringBoot + Vue项目打包成exe文件涉及多个步骤,包括前端Vue项目的构建、后端SpringBoot应用的打包、数据库的迁移、Nginx的配置以及Electron的使用。以下是一个概要步骤和相关工具的简要说明:

  1. 前端Vue项目构建

    使用Vue CLI或类似工具将Vue项目构建为静态文件。

  2. 后端SpringBoot应用打包

    使用Maven或Gradle等构建工具将SpringBoot应用打包成可执行的jar或war文件。

  3. 数据库迁移

    使用Flyway或Liquibase等工具进行数据库迁移。

  4. Nginx配置

    配置Nginx以托管SpringBoot应用并为Vue静态文件提供服务。

  5. Electron打包

    使用Electron打包工具,如electron-packager或electron-builder,将Nginx和SpringBoot应用封装成一个可执行文件。

对于具体的工具和步骤,你可以使用以下方法:

  • 使用Maven或Gradle插件来打包SpringBoot应用。
  • 使用Nginx作为服务器。
  • 使用Flyway或Liquibase来管理数据库迁移。
  • 使用Vue CLI来构建Vue项目。
  • 使用Electron打包工具来将Nginx和SpringBoot应用打包成exe。

由于包含多个复杂工具和技术,实际操作将涉及详细的步骤和解决方案。这里不能提供详细的命令或脚本,但可以提供一个概览和关键步骤的指导。

请注意,将SpringBoot项目打包成exe文件并非简单任务,涉及多个复杂的环节,需要详细的步骤和对各种工具的熟悉。如果你需要具体的命令或脚本,请提供更多的细节和你已经尝试过的步骤。

2024-08-23

以下是一个基于 Nginx 部署 Django 项目的简化版本的示例配置。请注意,这里假设您已经安装了 Python3、Django 和 Nginx。

  1. 安装 Nginx 和 Django。



sudo apt-update
sudo apt-get install nginx
pip3 install django
  1. 创建一个新的 Django 项目并运行服务器。



django-admin startproject myproject
cd myproject
python3 manage.py runserver 0.0.0.0:8000
  1. 配置 Nginx 作为反向代理服务器。

编辑 Nginx 配置文件 /etc/nginx/sites-available/default 或创建一个新的配置文件在 /etc/nginx/sites-available/ 下。




server {
    listen 80;
    server_name example.com;
 
    location /static/ {
        alias /path/to/your/django/project/static/;
    }
 
    location / {
        proxy_pass http://localhost:8000;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
  1. 重新加载 Nginx 配置。



sudo nginx -t
sudo systemctl reload nginx

现在,您的 Django 项目应该可以通过 Nginx 访问了。确保替换 example.com/path/to/your/django/project/static/ 为您的实际域名和静态文件目录。

请注意,这个配置示例是为了演示目的。在生产环境中,您可能需要进行更多的安全和性能配置,例如设置 SSL、gzip 压缩、缓存配置等。

2024-08-23

在Go语言中使用Gin框架获取请求IP,并配置Nginx作为反向代理时,可以通过Gin的中间件获取IP地址。在Nginx中配置相关的转发规则。

Go (Gin) 代码示例:




package main
 
import (
    "github.com/gin-gonic/gin"
    "net/http"
)
 
func main() {
    r := gin.Default()
 
    r.GET("/", func(c *gin.Context) {
        ip := c.ClientIP()
        c.String(http.StatusOK, "客户端IP: %s", ip)
    })
 
    r.Run()
}

Nginx 配置示例 (nginx.conf):




http {
    server {
        listen 80;
        server_name your-domain.com;
 
        location / {
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            proxy_set_header X-NginX-Proxy true;
 
            proxy_pass http://localhost:8080; # 假设Go应用运行在本地的8080端口
            proxy_redirect off;
        }
    }
}

在这个配置中,Nginx接收到请求后,会将请求转发到运行在localhost:8080的Gin应用,并通过X-Real-IP头部传递原始客户端IP地址。Gin应用通过c.ClientIP()方法获取到这个IP地址。