如果上传文件的路径、文件名、扩展名都是用户可控的数据，然后木马脚本就会在web服务器上面搞事情。有问题是在文件上传之后，服务器的处理方式、解释文件如果出现了问题，就会导致错误，就是漏洞的来源。文件上传时候审查不严。webshell常常被称为入侵者通过网站端

Color_Text(). {. echo -e " \e[0;$2m$1\e[0m". }. Echo_Red(). {. echo $(Color_Text "$1" "31"). }. Ec

上传漏洞从切入点，可以分为两种一种是在客户端产生的，另外一种是服务端效验被绕过。客户端额和服务端会产生的一些问题：1.前端效验扩展名，某次某政府的站是用flash上传的，通过前端js交互限制了上传扩展名，记得是用的开源的某款产品，一般老CMS会存在这个问题

useradd [-u uid | -g group] | -d dir | -s shell | -c comment | -m [-k skel_dir] ] login. UX: groupadd: ERROR: 100 is already in

sed编辑器可以基于输入到命令行的或是存储在命令文本文件中的命令来处理数据流中的数据。在流编辑器将所有命令与一行数据进行匹配后，它会读取下一行数据并重复这个过程。默认情况下，sed会编辑器会将指定的命令应用到STDIN输入流上。由于gawk命令行假定脚本是

echo "Shell 传递参数实例！echo "执行的文件名：$0";

WshShell.RegWrite"HKEY_LOCAL_MACHINE\Software\CLASSES\Folder\shell\cmdhere\","". WshShell.RegWrite"HKEY

适当应用会很有效果。

三 把变量声明为整型。五 声明环境变量。和export作用相似，但其实是declare命令的作用。六 声明只读属性

shell里面，常出现程序执行结果既要往终端输出，又要往log文件输出的情况，这时候一般都使用tee。但是现在变量ST里设置的返回值是tee命令的返回值，而不是command的返回值， 所以出现即使command执行结果出错，可变量ST的值仍是正常0的情况

点按“确定”关闭对话框。

在微博上看到最近安全界爆出了一个危害比之前的“心脏流血”还要大很多的Bash代码注入漏洞：CVE-2014-6271 “shellshock”漏洞，然后随之而来一系列相关漏洞。世界上Linux服务器的占有份额是很大的，而bash又是Linux不可或缺的一个

/bin/bash //告诉Shell 使用哪个Shell 程序#Display a line //#表示注释 //空白行用来区分不同更功能 没有实际意义name="[email protected]"echo "He

也适用于其它UNIX/LINUX系统。

用Ubuntu做开发机OS遇到的第一个问题就是将更新的代码放上测试服务器运行。之前用windows的时候是用Winscp更新代码到服务器上去的。ubuntu下面没有类似Winscp的程序，只能自己写个简单的脚本做这种事情了。#要更新的的文件数组 相对根目录

a、I/O重定向通常与FD有关，shell的FD通常为10个，即0～9；b、常用FD有3个，为0、1、2，默认与keyboard、monitor、monitor有关；d、用>来改变送出的数据信道，使之输出到指定的档案；f、在IO重定向中，stdout

http://www.ibm.com/developerworks/cn/linux/l-tip-prompt/tip01/

来看下面的例子，注意双引号是必不可少的。

先停掉tomcat，把服务器上的war包删掉，再传自己的war包，再重启tomcat

写脚本实现，可以用shell、perl等。把文件b中有的，但是文件a中没有的所有行，保存为文件c，并统计c的行数。grep-xvFfab表示：从文件b中匹配文件a中的每一行