Hugo的PaperMod主题踩坑历程

忙了一晚上,配置Papermod主题踩了太多坑。记录一下Hugo的PaperMod主题踩坑历程(包括Safari顶栏颜色配置等)。 一、安装过程 不要使用git add submodule安装主题,否则将无法更改主题内容。正确方法是下载zip文件解压,然后git init。 api.netlify.com始终无法访问,又不在各大pac的名单上,因此开梯子的时候要设置为全局才能上去。 从Hexo转向Hugo后,最大的感受就是编译速度快了不少,netlify的免费额度终于够用了~ 二、配置过程 设置Archive页面时,除了按照官方的做法添加archives.md文件以外,还必须在config.yml下添加如下属性: params: ShowAllPagesInArchive: true 设置params.editPost属性时,在URL上必须加上/tree/master,例如: https://github.com/alvazu/hugo_standalone/tree/master/content 同时,必须设置hidemeta属性,才会显示修改按钮: params: hidemeta: false hideSummary: false 配置TOC的过程,可以参考如下配置,让TOC显示但自动收起: params: showtoc: true tocopen: false 将主页设置为非profile mode时,还必须在config.yml下添加如下属性,首页上的文章列表才能显示: params: mainSections: - post 这是由于在下列语句中,site.Params.mainSections属性返回posts,而site.RegularPages.Type返回post(少了个“s”): where site.RegularPages "Type" "in" site.Params.mainSections 配置RSS时,首先在config.yml下添加如下属性: params: ShowFullTextinRSS: true 然后将socialIcons属性指向index.xml。 要删除Catagories、Tags页面中的大标题,需要找到/layouts/_default/terms.html文件,将其中的 <h1>{{ .Title }}</h1> (也就是第五行)注释掉。 要删除底部的Powered by Hugo & PaperMod字样,需要找到layouts/partials/footer.html,从第8行开始设置注释: <!-- <span> Powered by <a href="https://gohugo.io/" rel="noopener noreferrer" target="_blank">Hugo</a> & <a href="https://git.io/hugopapermod" rel="noopener" target="_blank">PaperMod</a> </span> --> 三、设置Safari顶栏颜色跟随 找到layouts/partials/header....

October 6, 2021 · 1 min · alvazu

Hexo 安装并部署到GitHub Pages 最新教程(2021.10)

一、前期准备 1.1. 环境安装 下载必须环境 NodeJS:下载 | Node.js 中文网 (nodejs.cn) Git:Git - Downloads (git-scm.com) 测试是否安装成功 node -v npm -v git --version 安装cnpm以使用国内景象 npm install -g cnpm --registry=https://registry.npm.taobao.org 安装hexo cnpm install hexo-cli -g hexo -v 1.2. 建立Github仓库 注册GitHub账号(略) 建立GitHub仓库 这里注意,要将Repository name设置为 用户名.github.io,建立一个README.md。 1.3. 生成并绑定ssh key 打开命令行,定位到某文件夹下,输入ssh查看ssh是否已经正常安装。 ssh-keygen -t rsa -C "注册GitHub时使用的邮件地址" # 例如: ssh-keygen -t rsa -C "abc@example.com" # 输入命令后,根据提示按四次回车 生成完毕后,进入.ssh文件夹。Linux/mac用户在~/.ssh/,Windows用户一般在C:\Users\用户名\.ssh,找到里面的id_rsa和id_rsa.pub。 打开GitHub的settings页面,在左边找到SSH and GPG keys,点击绿色的New SSH key按钮。Title随便写都行,并将刚才的id_rsa.pub中的内容复制到Key栏,点击Add SSH key。 测试SSH是否绑定成功: ssh -T git@github....

October 5, 2021 · 1 min · alvazu

SQL注入基础入门——03、SQLMap编码注入

在SQL注入时,有时会遇到一些复杂情况,如:.../info.php?id=MQ==,这种情况就属于编码注入。其基本流程如下: 接收数据 -> base64解密 -> 组合SQL语句 -> 执行返回 注入思路如下: 先解码,结合明文后编码 用如下的表格展现编码注入的部分流程: 原文 译文 备注 1 order by 3 MSBvcmRlciBieSAz 猜测列数 -1 union select 1,2,3 LTEgdW5pb24gc2VsZWN0IDEsMiwz 测试回显 -1 union select 1,database(),version() LTEgdW5pb24gc2VsZWN0ID EsZGF0YWJhc2UoKSx2ZXJzaW9uKCk= 取得库名 使用Tamper 定位到tamper/base64encode.py文件,注意将URL中的MQ去掉 python sqlmap.py -u "XXX.php?id=" --tamper=base64encode.py

October 4, 2021 · 1 min · alvazu

域名可能衰落的原因

域名和房地产很像。 房地产价值首先有其实业的一面,钢筋混凝土,也就是实实在在的居住属性;也有其虚拟的一面,也就是其所处的土地价值、配套的公共服务等,这也就是房地产可炒作的一面。 域名也是类似,首先它有自己实际的功能,也就是用固定的字符串代替动态的 IP 地址;其次还有可炒作的一面,也就是好记、好看,在商业上展现实力等。 如今域名功能性的一面越来越弱势,越来越多的流量通过 app 而不是通过域名。这也造成了严重的两极分化:没有炒作价值的域名几乎一文不值。 另外还有一点我觉得也跟房地产很像:那就是低廉的持有成本。就像国内房产税的缺位一样,一个域名,无论其本身的价值,续费的成本都不过几十几百块(注册商保留域名除外),这导致对一个好域名来说,卖家天然占据优势,除了买家溢价购买的情况下,交易的终止对卖家几乎没有什么损失,从心理上就是卖家占优。 但其中还有一个问题:在 App 时代,普通大众连接到互联网的入口越发不通过域名,可能多数人连域名是什么都不一定知道,这可能一同削弱了域名的炒作价值——多数人都不知道域名是什么,又何谈接收其所带的品牌价值呢? 就像未来 VR 全面普及、交通业高度发达的时代:多数人的大多数活动(学习工作生活)都不需要去到太远的地方,也不关心自己所处的位置,又何谈房地产的土地价值呢? 总而言之,域名价格趋向合理应该是趋势,域名持有人也应该积极顺应这一趋势。

October 4, 2021 · 1 min · alvazu

SQL注入基础入门——02、SQLMap简介

SQLMap是一个自动化的sql注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库有MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB。 SQLMap是一款开源免费的漏洞检查、利用工具. 可以检测页面中get,post参数,cookie,http头等. 可以实现数据榨取 可以实现文件系统的访问 可以实现操作命令的执行 还可以对xss漏洞进行检测 基础入门:https://www.cnblogs.com/php09/p/10404560.html 重要目录详情: 参考https://blog.csdn.net/qq_29277155/article/details/51646932 doc/ —-»>该文件夹包含了sqlmap 的具体使用说明,例如多种语言的简要说明、PDF版的详细说明、FAQ、作者信息等。 extra/ —»>这里包含了sqlmap的多种额外功能,例如发出声响(beep)、运行cmd、安全执行、shellcode等。 lib/ —»>这里包含了sqlmap的多种连接库,如五种注入类型请求的参数、提权操作等。 plugins/ —»>这里包含了各种数据库的信息和数据库通用事项。 procs/ —»> 这里包含了mssqlserver、 mysql、oracle和postgresql的触发程序 shell/ —»>这里包含了多种注入成功后的9种shell 远程连接命令执行和管理数据库 tamper/ —»>这里包含了47种的绕过脚本,例如编码绕过、注释绕过等。 thirdparty/ —»>这里包含了一些其他第三方的插件,例如优化、保持连接、颜色等。 txt/ —»>这里包含了一些字典,例如用户浏览器代理、表、列、关键词等。 udf/ —»>这里包含了用户自己定义的攻击载荷。 waf/ —»»这里包含了一些44种常见的防火墙特征。 xml/ —»>这里包含了多种数据库的注入检测载荷、旗标信息以及其他信息。在这里可以看到进行注入的。 sqlmap.conf —»» sqlmap的配置文件,如各种默认参数(默认是没有设置参数、可设置默认参数进行批量或者自动化检测)。 sqlmap.py* —»» 这是sqlmap 的主程序,可以调用各种参数进行注入任务。 sqlmapapi.py* —»» 这是sqlmap 的api 文件,可以将sqlmap集成到其他平台上。 一些技巧 python3 sqlmap.py -u “URL?id=1” 查询过一次后,第二次查询可能不准(因为有缓存),可以选择删除缓存(AppData\Local\sqlmap\output)

October 4, 2021 · 1 min · alvazu