C13第二周作业

1.复习kali和docker设置国内镜像的方法

以下是 Kali Linux 设置国内镜像源 的详细步骤：

步骤 1：备份原始 sources.list 文件

在修改之前，建议先备份原始配置文件，以便出现问题时可以快速恢复：

sudo cp /etc/apt/sources.list /etc/apt/sources.list.backup

步骤 2：编辑 sources.list 文件

使用文本编辑器（如 vim 或 nano）打开镜像源配置文件：

sudo nano /etc/apt/sources.list

或

sudo vim /etc/apt/sources.list

步骤 3：替换为国内镜像源

将文件中的原有内容注释掉（在每行前加 #），然后添加以下任意一个国内镜像源的地址：

阿里云镜像源（推荐）

deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib
deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib

清华大学镜像源

deb https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free
deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free

中科大镜像源

deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

华为云镜像源

deb http://repo.huaweicloud.com/kali kali-rolling main non-free contrib
deb-src http://repo.huaweicloud.com/kali kali-rolling main non-free contrib

注意：

• 如果你的 Kali 版本不是最新的滚动发布版本（kali-rolling），请将 kali-rolling 替换为你的实际版本代号（如 sana 等）。
• 如果使用 HTTPS 源（如清华源），确保系统已安装 apt-transport-https 包：

sudo apt install apt-transport-https

步骤 4：更新软件包索引

保存并退出编辑器后，执行以下命令更新软件包列表：

sudo apt update

步骤 5：验证镜像源

1. 检查更新速度：

• 运行 sudo apt upgrade，观察软件包下载速度是否提升。

2. 检查错误信息：

• 如果 apt update 报错，可能是镜像源地址错误或网络问题。可以尝试切换其他镜像源。

常见问题及解决方法

1. 镜像源不可用或报错

• 原因：镜像站临时不可用或配置错误。
• 解决：

1. 检查镜像源地址是否拼写正确。
2. 切换其他镜像源（如阿里云或清华源）。
3. 检查网络连接（如 DNS 设置）。

2. 证书错误（HTTPS 源）

• 原因：未安装 HTTPS 支持或证书过期。
• 解决：

sudo apt install ca-certificates
sudo apt update

3. 恢复原始源

如果修改后出现问题，可以恢复备份文件：

sudo cp /etc/apt/sources.list.backup /etc/apt/sources.list
sudo apt update

补充说明

• 推荐镜像源：阿里云和清华大学的镜像源稳定性较高，适合大多数用户。
• 定期维护：镜像站地址可能更新，建议定期检查并更新配置。

通过以上步骤，你可以显著提升 Kali Linux 的软件包下载速度和系统更新效率！

以下是配置 Docker 使用国内镜像源的详细方法，适用于 Windows/macOS 和 Linux 系统：

一、Windows/macOS（Docker Desktop）

方法1：通过图形界面配置

1. 打开 Docker Desktop 设置
   右键点击任务栏的 Docker 图标 → 选择 Settings → 左侧菜单选择 Docker Engine。
2. 修改 JSON 配置
   在右侧的 JSON 编辑框中，添加或修改 registry-mirrors 字段，填入国内镜像源地址。例如：

{
  "registry-mirrors": [
    "https://docker.1ms.run",
		"https://docker.xuanyuan.me"
  ]
}

1. 保存并重启 Docker
   点击 Apply & Restart，等待 Docker 重启生效。

方法2：直接修改配置文件

1. 定位配置文件
   文件路径：C:\Users\<你的用户名>\.docker\daemon.json（若文件不存在，手动创建）。
2. 编辑配置文件
   添加以下内容（可自定义镜像源组合）：

{
  "registry-mirrors": [
    "https://docker.1ms.run",
		"https://docker.xuanyuan.me"
  ]
}

1. 重启 Docker 服务

• 右键任务栏 Docker 图标 → 选择 Quit Docker Desktop。
• 重新启动 Docker Desktop。

二、Linux 系统

步骤1：创建/编辑配置文件

1. 打开终端，执行以下命令：

sudo mkdir -p /etc/docker
sudo nano /etc/docker/daemon.json

1. 添加镜像源配置
   若文件不存在，直接新建并填入以下内容（推荐多个镜像源组合）：

{
  "registry-mirrors": [
    "https://docker.1ms.run",
		"https://docker.xuanyuan.me"
  ]
}

步骤2：重启 Docker 服务

1. 重新加载配置并重启 Docker

sudo systemctl daemon-reload
sudo systemctl restart docker

三、推荐国内镜像源

四、验证配置是否生效

1. 检查镜像源状态
   执行以下命令，查看输出中的 Registry Mirrors 部分：

docker info

1. 测试拉取镜像
   观察下载速度是否提升：

docker pull nginx:latest

五、常见问题解决

1. JSON 格式错误

• 确保无多余逗号，引号为英文符号。
• 可使用 JSON 校验工具 检查格式。

2. 镜像源失效

• 尝试更换其他镜像源。

3. 拉取镜像仍慢

• 清理缓存：docker system prune -a
• 检查防火墙设置，临时关闭测试：sudo ufw disable（Linux）。

4. 阿里云专属加速器

• 登录 阿里云容器镜像服务 → 获取专属加速地址 → 替换到配置文件中。

通过以上步骤，您可以显著提升 Docker 镜像的下载速度，避免因网络问题导致的构建失败。如果遇到新镜像源失效，建议参考最新的可用镜像源列表（如 docker.1ms.run）。

2.复习html、javascript、mysql、php等web开发的基础知识

以下是关于 HTML、JavaScript、MySQL、PHP 等 Web 开发基础知识的总结，结合了学习顺序、核心概念和实践建议：

1. HTML（超文本标记语言）

• 作用：构建网页的结构和内容。
• 核心内容：

• 基本标签：标题（<h1>-<h6>）、段落（<p>）、链接（<a>）、列表（<ul>、<ol>）、表格（<table>）等。
• HTML5 新特性：语义化标签（<header>、<footer>、<section>）、表单增强（<input type="email">）、多媒体支持（<video>、<audio>）。
• 表单：创建表单元素（<input>、<textarea>、<select>）并处理用户输入。
• 响应式设计：使用 <meta name="viewport"> 适配移动端。

• 学习资源：W3School、MDN Web Docs、HTML5 教程。

2. CSS（层叠样式表）

• 作用：控制网页的样式和布局，提升视觉效果。
• 核心内容：

• 选择器：类选择器（.class）、ID 选择器（#id）、属性选择器（[type="text"]）。
• 布局技术：盒模型（margin、padding、border）、Flexbox（弹性布局）、Grid（网格布局）。
• 响应式设计：媒体查询（@media）、视口设置。
• 动画与过渡：transition、@keyframes 创建动态效果。

• 工具：使用 CSS 预处理器（如 Sass）、CSS 框架（如 Bootstrap）。
• 学习资源：CSS Tricks、MDN CSS 教程。

3. JavaScript

• 作用：实现网页的动态交互功能。
• 核心内容：

• 基础语法：变量（let/const）、数据类型、运算符、条件语句（if/switch）、循环（for/while）。
• 函数与对象：函数声明、闭包、对象字面量、this 关键字。
• DOM 操作：通过 document.querySelector() 选择元素、修改内容（innerHTML）、绑定事件（addEventListener）。
• 异步编程：回调函数、Promise、async/await。
• ES6+ 特性：箭头函数、模板字符串、解构赋值、模块化。
• 前端框架：React、Vue.js、Angular（适合复杂项目）。

• 学习资源：MDN JavaScript 教程、freeCodeCamp、JavaScript.info。

4. PHP（服务器端脚本语言）

• 作用：处理后端逻辑、动态生成网页内容。
• 核心内容：

• 基础语法：变量（$var）、数据类型、条件语句、循环、函数。
• 表单处理：获取用户输入（$_GET/$_POST）、验证数据、防止 XSS 注入。
• 文件操作：读写文件（file_get_contents()、fwrite()）。
• 会话管理：使用 session_start() 和 $_SESSION 跟踪用户状态。
• 数据库交互：通过 PDO 或 MySQLi 连接 MySQL，执行 SQL 查询。
• 安全性：防止 SQL 注入（使用预处理语句）、CSRF 攻击防护。

• 框架：Laravel（主流 PHP 框架）、CodeIgniter（轻量级）。
• 学习资源：PHP 官方文档、Laravel 文档、W3School PHP 教程。

5. MySQL（关系型数据库）

• 作用：存储和管理网站数据。
• 核心内容：

• SQL 基础：SELECT、INSERT、UPDATE、DELETE 语句。
• 数据类型：整数（INT）、浮点数（FLOAT）、字符串（VARCHAR）、日期（DATE）。
• 表设计：主键（PRIMARY KEY）、外键（FOREIGN KEY）、索引。
• 高级操作：JOIN 连接、事务（BEGIN/COMMIT）、触发器、存储过程。
• 性能优化：索引优化、查询缓存、分库分表。

• 工具：phpMyAdmin（可视化操作数据库）、MySQL Workbench。
• 学习资源：MySQL 官方文档、W3School SQL 教程。

6. Web 开发基础整合

• 学习顺序：

1. 前端基础：HTML → CSS → JavaScript（掌握静态网页开发）。
2. 后端基础：PHP（或 Node.js）→ MySQL（掌握动态网页开发）。
3. 进阶整合：使用 PHP 操作 MySQL 数据库，实现用户注册/登录、数据增删改查等功能。
4. Web 服务器：学习 Apache/Nginx 配置，部署静态和动态资源。
5. 网络协议：理解 HTTP/HTTPS、RESTful API 设计（GET/POST/PUT/DELETE）。

7. 工具与环境

• 开发工具：

• 代码编辑器：VS Code、Sublime Text、Atom。
• 集成环境：XAMPP（含 Apache、MySQL、PHP）、WAMP（Windows 专用）。
• 版本控制：Git + GitHub（代码管理与协作）。

• 调试工具：Chrome DevTools、Postman（测试 API）。

8. 项目实践建议

• 初级项目：个人博客、在线表单、简易商城。
• 中级项目：用户认证系统、任务管理工具、论坛。
• 高级项目：全栈 Web 应用（如 Laravel + Vue.js）、RESTful API 开发。

9. 学习资源推荐

• 书籍：

• 《JavaScript DOM 编程艺术》
• 《PHP 和 MySQL Web 开发》
• 《深入浅出 MySQL》

• 网站：

• W3School（快速查阅语法）
• MDN Web Docs（权威教程）
• freeCodeCamp（免费实战项目）

• 视频教程：

• YouTube：Traversy Media、The Net Ninja。
• Bilibili：PHP 中文网、黑马程序员。

通过以上步骤，你可以逐步掌握 Web 开发的核心技术，并构建完整的动态网站。建议从简单项目入手，逐步增加复杂度，同时多参考官方文档和社区资源！

3.使用Burp Suite抓包并分析DVWA靶场的登录包

以下是使用 Burp Suite 抓包并分析 DVWA 靶场登录包 的详细步骤：

1. 环境准备

1.1 安装 Burp Suite

• 下载并安装 Burp Suite（建议使用专业版）。
• 确保已安装 Java 11+ 环境。
• 启动 Burp Suite 后，进入 Proxy -> Options，设置代理为 127.0.0.1:8080。

1.2 配置浏览器代理

• 在浏览器中设置代理：

• Chrome/Firefox：设置系统代理为 127.0.0.1:8080。
• Burp 内置浏览器：直接使用 Burp 的代理功能。

1.3 安装 Burp 证书

• HTTPS 抓包：

1. 打开浏览器，访问 https://127.0.0.1:8080。
2. 下载并安装 Burp 的 CA 证书（CA certificate）。
3. 在浏览器证书管理器中信任该证书，避免 HTTPS 抓包时提示“此网站不受信任”。

2. 搭建 DVWA 靶场

2.1 安装 DVWA

• 参考知识库中的 DVWA 搭建教程，使用 XAMPP/WAMP/LAMP 搭建 PHP/MySQL 环境。
• 下载 DVWA 源码（GitHub 或 CSDN 提供的链接），解压到服务器根目录（如 htdocs/dvwa）。
• 修改 config/config.inc.php 文件，设置数据库用户名和密码（如 root/root）。
• 访问 http://127.0.0.1/dvwa，完成安装并登录（默认账号：admin/password）。

2.2 设置安全级别

• 在 DVWA 登录后，进入 Security 页面，选择安全级别（如 Low 或 High）。

• Low 级别：无防护，适合初学者。
• High 级别：包含 CSRF Token 和随机延迟，需特殊处理。

3. 使用 Burp Suite 抓包分析登录请求

3.1 启动 Burp 拦截

1. 在 Burp Suite 中，进入 Proxy -> Intercept，勾选 Intercept is on。
2. 打开浏览器，访问 DVWA 登录页面（如 http://127.0.0.1/dvwa/login.php）。
3. 输入任意用户名和密码，点击登录按钮。此时请求会被 Burp 拦截。

3.2 分析登录请求

1. 在 Burp 的 Proxy -> Intercept 标签页，查看拦截到的请求。
2. 请求示例（Low 级别）：

POST /dvwa/login.php HTTP/1.1
Host: 127.0.0.1
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=abc123; security=low

username=admin&password=password&Login=Login

• 关键字段：

• username: 用户名参数。
• password: 密码参数（未加密）。
• Login: 登录按钮提交的标识。

1. High 级别请求：

POST /dvwa/login.php HTTP/1.1
Host: 127.0.0.1
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=abc123; security=high

username=admin&password=password&user_token=csrf_token_value&Login=Login

• 新增字段：

• user_token: CSRF Token（每次请求生成新值）。

4. 使用 Intruder 模块进行暴力破解

4.1 配置 Intruder

1. 将拦截到的登录请求发送到 Intruder 模块（右键 -> Send to Intruder）。
2. 在 Positions 标签页中：

• 点击 Clear，然后选择 Username 和 Password 参数。
• 使用 § 符号标记需要爆破的字段（如 §username§ 和 §password§）。

3. 在 Payloads 标签页中：

• 选择 Attack type 为 Cluster bomb（组合爆破）。
• 加载字典文件（如 rockyou.txt 或自定义字典）。

4.2 处理 CSRF Token（High 级别）

1. 问题：High 级别每次请求生成新的 user_token，直接爆破会失败。
2. 解决方案：

• 方法 1：在 Intruder 中添加 user_token 参数，使用另一个字典（如从 DVWA 源码中提取的合法 Token 值）。
• 方法 2：编写脚本自动化获取 Token（需配合 Burp Extender 或 Python 脚本）。

5. 分析响应结果

1. 在 Intruder 的 Results 标签页中，查看所有请求的响应。
2. 判断登录成功：

• 响应内容：成功登录后返回 Welcome to the password protected area!。
• 响应状态码：302（跳转到首页）。
• 响应长度：成功请求的响应长度通常与失败请求不同。

3. 过滤有效结果：

• 在 Grep-Match 中添加关键字（如 Welcome 或 index.php）。
• 在 Grep-Extract 中提取敏感信息（如用户头像路径）。

6. 常见问题与解决方案

6.1 HTTPS 抓包失败

• 原因：未安装 Burp 证书。
• 解决：按步骤安装证书，并信任该证书。

6.2 高级别爆破失败

• 原因：CSRF Token 验证失败。
• 解决：使用双字典爆破（用户名+密码+Token），或修改源码禁用 Token 验证（仅用于学习）。

6.3 请求被限制

• 原因：DVWA 的 High 级别会随机延迟响应。
• 解决：降低 Intruder 的并发请求数（Threads 设置为 1-5）。

7. 示例：Low 级别爆破流程

1. 步骤：

• 启动 Burp 拦截，捕获登录请求。
• 发送到 Intruder，标记 username 和 password。
• 加载字典（如 admin + password）。
• 开始爆破，观察响应结果。

2. 成功标志：

• 响应内容包含 Welcome。
• 响应状态码为 302。

通过以上步骤，你可以使用 Burp Suite 抓包并分析 DVWA 靶场的登录请求，模拟暴力破解攻击并理解不同安全级别的防护机制。

4.使用AI开发一个简单的留言板并使用phpstudy部署

以下是使用PHP开发简单留言板并使用phpstudy部署的步骤：

1. 创建数据库和表

1. 打开phpstudy，启动MySQL服务。
2. 打开phpMyAdmin（通常地址为 http://127.0.0.1/phpmyadmin）。
3. 创建名为 guestbook 的数据库。
4. 在该数据库中创建 messages 表：

CREATE TABLE `messages` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(100) NOT NULL,
  `message` text NOT NULL,
  `created_at` timestamp DEFAULT CURRENT_TIMESTAMP,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

2. 编写PHP代码

在phpstudy的 www 目录下创建一个名为 guestbook 的文件夹，并添加以下文件：

config.php（数据库配置）

<?php
$host = 'localhost';
$db   = 'guestbook';
$user = 'root'; // 默认用户名
$pass = 'password';     // 默认密码（根据实际设置修改）
$charset = 'utf8mb4';

$dsn = "mysql:host=$host;dbname=$db;charset=$charset";
$options = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
    PDO::ATTR_EMULATE_PREPARES   => false,
];

try {
    $pdo = new PDO($dsn, $user, $pass, $options);
} catch (\PDOException $e) {
    throw new \PDOException($e->getMessage(), (int)$e->getCode());
}
?>

index.php（前端页面）

<!DOCTYPE html>
<html>
<head>
    <title>留言板</title>
    <style>
        body { font-family: Arial, sans-serif; max-width: 600px; margin: auto; padding: 20px; }
        textarea, input { width: 100%; margin-top: 10px; }
        .message { border: 1px solid #ccc; padding: 10px; margin-top: 15px; border-radius: 5px; }
    </style>
</head>
<body>
    <h1>留言板</h1>
    <form action="submit.php" method="post">
        <label for="name">姓名：</label>
        <input type="text" id="name" name="name" required><br>
        <label for="message">留言：</label>
        <textarea id="message" name="message" required rows="5"></textarea><br>
        <button type="submit">提交</button>
    </form>

    <h2>留言列表</h2>
    <?php
    include 'config.php';
    $stmt = $pdo->query('SELECT * FROM messages ORDER BY created_at DESC');
    while ($row = $stmt->fetch()) {
        echo "<div class='message'>";
        echo "<strong>" . htmlspecialchars($row['name']) . "</strong><br>";
        echo nl2br(htmlspecialchars($row['message'])) . "<br>";
        echo "<small>" . $row['created_at'] . "</small>";
        echo "</div>";
    }
    ?>
</body>
</html>

submit.php（处理提交）

<?php
include 'config.php';

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $name = trim($_POST['name']);
    $message = trim($_POST['message']);

    // 简单的输入验证
    if (empty($name) || empty($message)) {
        die('<script>alert("姓名和留言不能为空！"); history.back();</script>');
    }

    // 插入数据库
    $stmt = $pdo->prepare('INSERT INTO messages (name, message) VALUES (?, ?)');
    $stmt->execute([$name, $message]);

    // 重定向回首页
    header('Location: index.php');
    exit;
}
?>

3. 部署到phpstudy

1. 将 guestbook 文件夹放入phpstudy的 www 目录（默认路径：C:\phpstudy_pro\WWW\）。
2. 启动phpstudy的 Apache 和 MySQL 服务。
3. 在浏览器中访问： http://localhost/guestbook/index.php

4. 测试功能

1. 在页面填写姓名和留言，点击提交。
2. 检查数据库 guestbook 中的 messages 表是否成功插入数据。
3. 确认留言列表能实时显示新提交的内容。

5. 常见问题解决

• 数据库连接失败： 检查 config.php 中的用户名和密码是否与phpstudy的MySQL设置一致（默认密码为空）。
• 页面无法访问： 确保Apache服务已启动，且防火墙允许80端口访问。
• 乱码问题： 在 config.php 中确保使用 utf8mb4 字符集，并在数据库和表中设置相同编码。

6. 扩展功能建议

• 分页功能：当留言较多时，增加分页显示。
• 删除留言：添加管理员删除留言的功能。
• 验证码：防止机器人提交垃圾留言。
• 登录系统：仅允许注册用户留言。

通过以上步骤，即可快速搭建一个简单的留言板并部署到本地环境。

5.简述Web系统的运行流程和核心组件

Web系统的运行流程

1. 用户发起请求 用户通过浏览器或客户端输入URL，触发HTTP请求（如GET/POST），请求包含目标资源的路径、方法、请求头等信息。
2. DNS解析 浏览器查询本地DNS缓存，若无结果则向DNS服务器请求，将域名（如 www.example.com）解析为对应的IP地址。
3. 建立TCP连接 浏览器与服务器通过TCP协议建立三次握手连接，确保通信的可靠性。
4. 负载均衡（可选） 若系统部署了负载均衡器，请求会被分配到后端健康的服务器（如轮询、最少连接数策略），避免单点故障。
5. Web服务器处理请求

• 静态资源：直接返回HTML、CSS、JavaScript等文件（如Nginx/Apache）。
• 动态请求：转发给应用服务器（如Tomcat/Node.js）执行业务逻辑。

6. 应用服务器处理业务逻辑 根据请求调用数据库、计算逻辑或第三方服务，生成动态内容（如用户数据、API响应）。
7. 数据库交互 应用服务器通过SQL或NoSQL查询数据库，获取或存储数据（如用户信息、订单记录）。
8. 生成响应并返回 服务器构造HTTP响应，包含状态码（如200/404）、响应头（如Content-Type）和响应体（如HTML内容），通过TCP连接返回给客户端。
9. 客户端渲染
   浏览器解析响应内容，加载HTML、CSS、JavaScript，并渲染页面或执行动态交互。
10. 连接关闭或保持 若未设置 Connection: keep-alive，TCP连接关闭；否则保持连接以复用，提高效率。

Web系统的核心组件

1. 前端（Frontend）

• 功能：用户交互界面，负责展示数据和接收输入。
• 技术：HTML、CSS、JavaScript（框架如React/Vue）、浏览器渲染引擎。

2. 后端（Backend）

• 功能：处理业务逻辑、数据存储和API接口。
• 技术：服务器（Nginx/Apache）、应用服务器（Tomcat/Node.js）、编程语言（Java/Python/PHP）。

3. 数据库（Database）

• 功能：持久化存储结构化或非结构化数据。
• 类型：关系型（MySQL/PostgreSQL）、非关系型（MongoDB/Redis）。

4. API接口

• 功能：前后端通信的标准化接口，定义数据格式和调用方式。
• 类型：RESTful API、GraphQL、SOAP。

5. 缓存（Caching）

• 功能：加速高频数据读取，减少数据库压力。
• 技术：Redis、Memcached，常用于缓存页面、查询结果或会话数据。

6. 消息队列（Message Queue）

• 功能：异步处理任务（如邮件发送、日志记录），解耦系统组件。
• 技术：RabbitMQ、Kafka，支持高并发和任务可靠性。

7. 负载均衡（Load Balancing）

• 功能：分配流量到多台服务器，提升可用性和扩展性。
• 技术：硬件负载均衡器（F5）、软件（Nginx/LVS）。

8. 安全性组件

• 功能：保护数据和系统免受攻击。
• 措施：HTTPS加密、身份验证（OAuth/JWT）、防火墙、XSS/SQL注入防护。

9. 监控与日志

• 功能：实时监控系统性能，记录错误和访问日志。
• 工具：Prometheus/Grafana（监控）、ELK（日志分析）。

10. CDN（内容分发网络）

• 功能：加速静态资源（图片/视频）的全球分发，降低延迟。
• 技术：Cloudflare、阿里云CDN。

总结

Web系统的运行流程是客户端与服务器通过HTTP协议交互的全过程，核心组件协同工作以实现高效、安全的服务。前端负责用户交互，后端处理业务逻辑，数据库存储数据，而缓存、消息队列、负载均衡等组件则保障系统的性能和可靠性。