xnote1.5——WebShell
最近两个月(2018.05-2018.06),我花费了大量的业余时间对xnote进行了打磨,相比于1.0版本的羞涩,现在的xnote已经可以很流畅的使用了。这个版本包含了一系列的更新,最重要的主页的更新和扩展命令的增强。
首页
1.4版本的时候界面还没有统一的样式,各个地方也比较粗糙,1.5版本对很多页面进行了统一的调整,同时主页也采用了传统的博客主页设计(之前首页设计成突出分类是考虑到知识库的定位,但是实际使用过程中还是需要优先把最近添加的内容展示出来的)。下面是一些对比的截图。
旧版首页
新版首页
扩展命令
经过一段时间的调整,扩展命令已经可以满足我的很多自定义的需求了。下面我将详细介绍一下扩展命令的使用。
扩展命令定义很简单,在scripts/commands
目录下增加一个python文件,定义一个main方法就可以了,你可以自由调用xnote的api(主要是xutils模块,目前命名比较ugly,后续改进),写过C语言的同学对此应该非常熟悉
main方法传入的参数如下
- path 当前的目录或者文件路径
- input 输入的参数
- confirmed 是否确认执行,用于危险操作,比如删除文件
**kw
一定要定义一个keywords参数,方便向后兼容
首先进入命令列表
然后我们打开calc.py进行编辑
这个命令很简单,调用python的eval命令计算数学公式,运行一下结果如下,点击目录或者文件上的更多按钮,会出现一个弹层,然后运行命令calc 10 + 20
即可
linux平台提供了那么多好用的工具,怎么能够错过呢!!!,这里提供一个简单的sh命令,你可以轻松调起系统命令,而且根据path参数能够自动设置当前的工作目录
import xutils
import os
import subprocess# TODO 检查命令超时
def main(path = None, input='', **kw):if input == '':print('请输入命令谨慎执行')else:try:p = subprocess.Popen(input, cwd=path, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE)out = p.stdout.read()err = p.stderr.read()print(out.decode('utf-8'))print(err.decode('utf-8'))p.stdout.close()p.stderr.close()finally:pass
运行结果如下
看起来不自然,没关系!别名也是支持的,还记得initScript启动参数吗,设置一个启动脚本,定义如下的别名
import xconfig
xconfig.set_alias('ll', 'sh ls -lh')
xconfig.set_alias('ls', 'sh ls')
是不是很酷,感兴趣的小伙伴们赶紧下载体验一下,欢迎提交ISSUE和PR!有任何建议欢迎交流,项目地址
- https://gitee.com/xupingmao/xnote
下一步的计划
- 继续统一和优化界面
- 优化扩展命令的使用体验
- 笔记的历史版本
- 性能提升,主要是通过加缓存
附:Release Log
新增
- [x] 扩展命令confirmed参数,input输入参数
- [x] 扩展命令不再显示按钮
- [x] 扩展命令支持html格式
- [x] 扩展命令的别名alias
- [x] 页面扩展scripts/pages
- [x] 文件浏览器分栏模式
- [x] 笔记的数据报表-整体情况,环比,同比
- [x] 监听文档的新增、重命名事件,实时更新name的缓存
- [x] 搜索不强制要求登录,可以搜索公开的笔记
- [x] 浏览器标签页显示文档标题
更新
- [x] 主界面优化,增加侧边栏统计数据
- [x] 用户管理优化,左右分栏模式
- [x] 优化删除线按钮,已经加上删除线的再点击取消删除线
修复
- [x] 若干API的错误
- [x] 扩展命令的编辑超链接
- [x] Fix
/fs_shell
链接异常,xutils.get_real_path
没有判断参数为None
删除
api/monitor_task
,似乎一直没有用过system/app_admin
使用文件管理即可code/code_format
没怎么用过tools/httpd
没什么用处tools/http_proxy
没什么用note/table.html
废弃
转载于:https://my.oschina.net/u/1426689/blog/1841118
xnote1.5——WebShell相关推荐
- WEBSHELL跳板REDUH使用说明
原文链接: http://www.fendou.info/network/webshell-proxy-reduh.html reDuh是可以把内网服务器的端口通过http或https隧道转发到本机, ...
- WEBSHELL恶意代码批量提取清除工具
场景 使用D盾扫描到WEBSHELL后可以导出有路径的文本文件. 最后手动去把WEBSHELL复制到桌面然后以文件路径命名,挨个删除. D盾界面是这样的. 手动一个个找WEBSHELL并且改名效率太低 ...
- 从Webshell到肉鸡
从Webshell到肉鸡 S.S.F simeon 我一直都在强调一个东西,在网络攻防中最重要的就是思维,本文的灵感来自于安天365团队的一个篇稿件,在稿件中提到了一个AspxSpy的Asp.n ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之Webshell密码
附件题:Webshell密码 题目描述: 某次攻防演练中,抓到了一个webshell的流量,请分析出密码,flag形式:flag{密码} 附件下载: https://download.csdn.net ...
- 一次完整的从webshell到域控的探索之路
前言 内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里. 于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴求. 今天小菜我本着所有师傅们无私分享的精 ...
- php带帽接口_利用php自包含特性上传webshell
0x00 前言 今天做到一题道来自百度杯十二月第四场的ctf题,题目名字叫blog 进阶篇,当时没做出来,看了writeup才知道竟然还有这种骚操作来上传文件进行包含. 0x01 题目复现 前面的解题 ...
- 关于BBSxp/LeadBBS的后台上传Webshell的鸡肋防范
近弄了两个BBS系统,发现后台传/改Webshell的时候都做了一定限度的防范,使得很多新手不知道如何去传Webshell控制主机.其实这个问题很简单......几分钟就能解决 1.BBSXP 昨天朋 ...
- sqlmap 连接mysql_sqlmap从入门到精通-第三章-4-4-使用sqlmap直连MSSQL获取webshell或权限...
4.4 使用sqlmap直连MSSQL获取webshell或权限 在某些情况下可能不存在SQL注入漏洞,但是通过发现目标源代码泄露,备份泄露,文件包含等方法获取了数据库服务器的IP地址,数据库账户和密 ...
- linux脚本读取mssql数据库,WebShell通过SQL语句管理MSSQL
最近在做一个网络安全相关项目的渗透测试,在拿到了服务器的webshell之后,需要进一步渗透,服务器上有较高权限的软件只剩SQL Server 2005了,而且在webshell中通过SQL Serv ...
最新文章
- 全“芯”关注用户需求 AMD“超轻薄笔记本”杀出重围
- SAP WM Storage Type Search配置里的Storage Class WPC标记
- jQuery 取选中的radio的值方法
- mac用什么写python程序_mac下的应用程序发布 及 打包(Python写的脚本,可打包第三方库)...
- VS2017-VC++校验和计算小工具
- PMCAFF | 产品经理挑战赛,等你来战
- 用命令行CMD .bat 相关操作 如: 创建快捷方式 复制文件等
- Repeater\DataList\GridView实现分页,数据编辑与删除
- Nginx 与 Tomcat,Apache的区别
- php预处理的fetch函数,php 预编译查询始终fetch不到数据解决方案
- error LNK2019 无法解析的外部符号 _WinMain@16,该符号在函数 “int __cdecl invoke_main(void)“
- Debian系统apt-get build-dep命令
- SUBMAIL 短网址 API 授权与验证机制
- apt user manul
- 解决HP ProLiant DL380 G5的安装与启动CentOS7时不能识别raid硬盘问题
- js:nodejs中的session(登陆验证)
- 概率论例题01:设P(A)=a,P(B)=b,P(A∪B)=c,则P(A非B)=()
- 龙芯 python_html页面转PDF、图片操作记录,Vue项目入门实例
- 使用OpenCV检测摄像头视频中的人脸
- 电脑亮度无法调节?所有方法都试过了?