tomcat9.exe是什么

tomcat 中的进程池和 java 中的 threadpack sector 进程池有什么区别？ tomcat 的 进程池不就是主要用来处理 hdb 请求的嘛，就就没啥区别。那处理流程上呢？有区别吗？我觉得也没啥区别，其实还是有区别的，因为 java 进程池它的执行逻辑主要遵循的是先对列后扩容。 当你的任务数超过核心进程数的时候呢，它会优先把任务队列那个 taskq 重写了队列的 offer 方法 实现了先扩容后队列。当任务数超过核心现成数的时候，它其实会优先尝试去创建非核心现成，当你的现成数达到了它的最大现成数 maxpos size 后，它才会把任务放到队列里。这种处理逻辑呢，优先保证请求的及时处理，避免队列积压，更适合外部请求的这种特点。

好，我们先看第一部分啊，这个快速去定位到刀客，对吧？就是说当我们控制了一个系统啊，对吧？你怎么去判断他是一个刀客呢？啊？那么其实在昨天的时候给大家讲的很清楚了，就是说刀客是干什么的呢啊？就是说 他是一个独立的虚拟的一个环境啊，就比如说这里有一台系统，一台电脑，对不对？我们想要在这个电脑里面装两个网站啊？那你不可能有的时候不可能在一个电脑同时装两个啊，这样的话数据库啊， 或者说他这个一些配置啊，会有冲突，那么我们就考虑啊，将自己的系统装在独立的 dong 口，对吧？比如在这个另一个系统，我们安装一个 dong 口，对吧？将网站 a 装在这个 啊，这个虚拟的环境中，将网站 b 装在这个系统中啊，那这样的话啊，系统一跟系统二相互独立，互不影响，互不干涉，但是呢啊，这个系统一它是刀口， 系统二它也是刀口，对吧？那如果说啊，我们通过漏洞控制了一个系统，好，你发现这个系统它是处于这个圆形的里面，它是刀口，那其实你控制这个系统没有任何意义，对吧？因为它是虚拟出来的环境，你必须呢，哎，要逃逸出来啊，控，逃逸到哪里？逃逸到这个正方形里面 啊，要控制这个真正的这个系统才可以，那么这个就叫刀客逃逸了啊，那么我们还是回归到昨天啊，昨天我们讲了，对吧？啊？网站这里呢，我们通过这个勾瓣的扫描啊，发现这里有一个 tom ken 的 这个漏洞， 然后大家通过我们昨天讲的反弹 shell 啊，对吧？啊？一些这种方式啊，成功地干嘛呢？啊？成功地谈到了别人的 shell， 好， 那现在再给回顾一下，昨天就是这样的，对吧？啊，这边我们用 n c 去监听啊，用来接收 shell， 然后呢，通过这个 啊，网页的 r c e 的 方式啊，去执行这个啊，反弹 shell 的 命令啊，然后这边那个这个黑色地方就能谈到接收到啊，昨天这个 shell 了，对吧？这个是我们昨天讲的内容啊，如果说昨天你没有来的话，今天可能比较懵一些，对吧？但是这没有关系啊， 我们如果，哎，我，你就接着往下听就可以了，好吧，好，那么大家现在看到了，对吧？这里呢？我是不是通过这边返堂的方式啊，成功的拿到了一个 shell 了啊，那这就等于说已经控制了一个系统了啊，远程控制了，对吧？啊，哎， 好，那么在这里我们大家考考虑一个问题，对吧？哎，把这个切回来， 哎，这大小写怎么失效了？ l， 对 啊， 好，没事啊，来，我们再来看啊，首先我们用过这种反弹式的方式控制了一个系统，我们查看一下当前的这个权限，对吧？是不是 root 啊？最高管理员，对不对？好，我们看下这个这个 if config， 看下它的 ip 啊，那你能发现呢？这里的 ip 呢，对吧？啊？很奇怪啊，什么幺七二幺八，对吧？它不像一个正常 ip。 好， 那现在问题来了，第一个问题就是我们现在通过漏洞，你通过这种反南事的方式控制的是现在这个系统一，那么这个系统一，它其实是在这个刀口里面的。好，那么第一个问题，当我们未来啊， 跟李哥这个方式一样，控制了一台电脑之后，你如何判断他是否在刀刻中对不对？怎么去控制素数机呢？别，然后不是正讲的吗？啊，控住素数机的 不就叫刀刻逃逸了吗？对吧？那方式一，就是我们要去判断这个网站根目录下有没有刀刻点 e n v 这个配置文件。好，如果说一个系统对不对？ 它是刀科环境，那么在它的这个目录下，一定会有这样一个文件啊，叫做刀科 e n v 文件啊，这个叫刀科的配置文件啊，就是如果是真正的电脑，它是没有这样的一个文件的，只有是刀科系统，它才有这样的文件。好，那所以说我们可以执行 ls 杠 a l 斜杠 点刀客 e n v， 去查看是否有这样的文件，对吧？那大家在这里去执行就可以了啊，很简单，你把这个命令直接复制过来， ok， 来，好，回车，好，回车之后大家去看一下，这里，它就有提示。哎，是不是提示了，你看， 看到了吗？ ls 就 查看， al 就 查看，所有查看斜杠目录，也就是根目录下是否有这个点刀刻 e n v， 那 么在这里我们能清楚地看到确实存在一个这个文件，那这个文件是存在的 啊，那所以说通过这种方式，我们就判断出了当前我们控制的这个系统啊，它其实是一个刀刻的环境 啊，他是个虚拟化虚拟出来的环境啊，他并不是真正的宿主机啊，那你控制这个 d 环境呢啊， 这个作用不大，危害就比较小一些，对不对？好，这是方式一啊，也就是判断根目录下是否有这个 dk 的 配置文件啊？如果有，就代表环境是 dk 啊，那第二个方式啊，就查看他的进程 啊，那如果说它是个 dok， 因为 dok 说白了它也是个程序嘛，对吧？就跟你微信 qq 一 样，它也是个程序 啊，那么我们就可以查看一下啊，如果它是 dok 的 话，那在它的进程里面应该会有这个 dok 相关的一些进程或者一些提示。 那大家可以使用这个命令 cat 啊，这个这个 group 啊，去查看啊，是否有刀客的字样啊，这种是方式二，它也能去啊，判断当前环境是否是刀客，来，我们在这里输入啊，回车，那么大家在这里看一下， 好，输入这个指令之后呢？哎，我们把它放大，大家是不是能清楚地看到啊？ cat， 我 去查看进程，对不对？能看到这里的明显啊，是有 docker 这样的一些提示的啊。那么通过这种方式，我们也初步能判断 啊，他确实是刀客，对吧？那两种方式呢？其实任选其一就可以了啊，不管是有这个配置文件，还是他进程中有这个刀客的字样，我们都可以判断他是刀客啊。那如果是正常的 啊，他是没有这样的文件的啊，这个文件的，对吧？他是没有这样的文件的啊，那不信呢，我们去拿，打开一个正常的这个系统，我们给大家看一下啊， 来，我们打开什么，我们以个 kelly 为例吧，对吧？比如说我们的 kelly 啊，哎，我们的 kelly， 它不是 ducker， 对 吧？它是真正真实的这个主机啊。好，那我们打开这个 kelly 系统，我们去看 kelly 里面有没有刚才我所我所说的两个文件，它一定是没有的啊， 只有在 ducker 的 环境里，虚拟出来的环境里面，它才有刚才的这种提示。好，我们进入这个 kelly 中啊，当然验证一台 linux 都可以啊。 好，一二三四五六。好，我们登录进来啊，好，我们在这里输入一下啊，比如第一个，好，我们 l s， 对 吧？杠 a l 斜杠啊，点 d o c k e r e n v， 对 不对？ 看有没有看到没，没有，是不是看来没有看到没，没有那个文件啊，这个还写错了吧，你说李哥你就不对啊，少写多写个 e 啊，对吧，同样也没有对不对？好，或者说我们去执行刚才的这个指令 啊，这个你看有没有，是不是也没有啊？看到吗？这是只正常系统啊，这是宿主级真正的系统。那么真正的系统中大家能看到啊，它是没有刚才我们说的那些提示的 啊，只有在刀刻环境中他才有这样的提示啊。所以说通过这两种方式，我们可以初步判断，当前我们通过反电磁控制的系统，他是刀刻环境。好，那也就是说你现在把这个啊圆圈里面的这个系统控制了啊，你现在要怎么？是不是要去逃逸， 逃逸到宿主机啊，也就是真正的机器，那怎么逃逸？就从这个圈里面出来逃出来，对不对？啊？考，就跟这个 别人把你囚禁到一个小房子里啊，天天打你啊，天天把你拴起来，那你是不是想方设法得跑呀？啊？跑到外面的世界里啊，那你怎么跑 啊？是破窗呢？还是砸门呢？还是用什么计谋呢？对吧？你得总得有个方法跑出来，对吧？那你现在啊，我们控制的是这个系统音，怎么逃到这个啊？真正的 linux 系统里面来呢？

逼自己一个月学完，你就是 linux 运维大佬，全四六五级存下吧，真的很难找全的！警告，本系列视频耗时七个月，制作共计三百六十一小时，让你从零基础小白到 linux 大 佬，掌握 linux 所有重难点知识， 包括环境搭建、需要编程、 dakar、 mesa、 ql、 inginx、 zapix comcat、 应用集群与赋在均衡、 k 八 s 等实用技术点，全部是实际工作中必须掌握的技能，不讲废话，全是重点。 由于视频太长，本套视频分为十五期发布，为了让零基础小伙伴学习起来没有负担，课程中配套资料以及我整理的全套 linux 学习资料，对零基础超有帮助的学习路径已专家评论， linux 学习即可全带走！如果你看到这， 感谢支持一下主播，接下来我们进行系统课学习吧！ 今天我们来讲解一下在 linux 下面如何部署一个 java 监控系统， 这个课程呢，也是我在上一次入驻完成之后的一个升级版本，所以有些小伙伴呢，在评论区呢，给了我很多的回，就是反馈结果说之前呢，部署的是圣斗士下面的，现在呢，圣斗士系统有些更新没有了，如何在别的系统上面来做部署？ 那么围绕的这个话题，今天我们就录制一批针对扎币 x 系统的一个系列课程。好，先简单说一下我们在这套课程里面，我们学习的内容和方向，主要是涉及这几个点， 现在把第一个，企业级监控会用哪些，我们做个讲解。第二个呢，主流的监控平台用哪些组建？ 接下来呢，学习一下我们 java 到底是什么功能组成好？核心部分就是后面这一些如何部署？ java 界面上面如何配置监控主机，监控 windows 主机，然后配置监控项在后面可以去告警。 那么在这套课程里面，我会围绕着一个企业级的真实项目案例来做分解，围绕着企业里面的真实案例，把你们的技术点呢进行拆解开。 好，接下来呢我们就开始正式今天的学习。很多小伙伴呢在招聘网站上面经常会看到扎克斯，扎克斯到底是什么？为什么它叫企业级监控系统，那么我们今天就来学习下这个内容， 在学习过程中小伙伴有什么问题或者有不懂的，可以欢迎大家在评论区打印出来。然后呢我这边呢看完之后及时的给大家做一些回，就做一些回馈好， 首先监控系统大家都知道很重要，那么为什么重要？首先他从两个方面我们来做判定，第一个呢就是指出了问题呢，我要知道，而且呢我还能够通过他的问题呢得到一个风险预警，这个就是企业里面为什么用监控系统的首要原则。 至于这个性能，性能如何，性能要不要做优化，其实就是我在后期里面调优的时候呢，我要关心一个点， 特别是现在有些系统里面，它还会接入到 ai， 那 么如果有这种报警系统之后，再接入一些 ai 系统做一些分析，我们可以快速的调优，快速的做一些定位，这就是企业里面为什么必须备监控系统的原因。 企业里面一般被监控系统的首要原则有两套，一套是针对我们这种基础环境，像我们在前面呢讲到过的一个案例里面就提到，像我们在企业案例里面有这么多环境，那么我如果用监控系统，那我要考虑哪些？第一种呢，就是大家现在所看到的，我有这种 idc 机房，有小伙伴在 idc 机房里面上过班的同学都知道，机房里面要监控的设备呢，有网络设备，有交换机，有防火墙，有可能还有网络设备里面的什么上网行为管理， 还有呢我还要对 idc 机房里面的 ups 电源监监控，网络设备里面呢，我除了有四颗设备，华为设备，还有可能华山等等，那么这个呢，我都要设监控，这是第一种场景， 第二种场景公司里面还会有这种类似于这种私有云，私有云上面我们运行的各种主机我要监控，包括 windows 主机也要监控 好。而且有些公司里面随着这种业务的发展，有可能还会涉及到多节点，像我们在上一家公司里面做的这个华南区业务里面，这个机房里面有三千多台设备，然后呢在别的地方呢，还有别的设备要监控，那么如果用这个 x 来解决这些问题的话呢，都能够解决，都有解决方案， 这就是 java 为什么会成为企业级监控方案的原因，就是能够满足各种各样的需求啊，不管你是跨地域跨网都可以好。那么还有一些公司里面可能是在云上的产品，有可能还会用到这个柏罗米修斯 z b x， 主要是监控是裸金属这种基础环境的监控，那么裸金属监控的靠它，那么云环境靠谁呢？一般来讲呢，就用它这个伯乐米修斯，这个在我下一节课程里面呢，也会重新把伯乐米修斯课程呢去录制一下，到时候方便大家去学习。好，那么言归正传， 监控既然大家都知道重要，好它监控系统呢有一种叫做基于代理， 基于代理就是说我需要在上面安装个客户端来帮我们收集信息。这个监控系统基本上来讲呢都有一个要求，安装一些客户端 好，大家可以看一下，现在我这个地方有一个云主机，这个云主机上方我要有很多个虚拟机在要监控起来，那我每一台主机要安装一个 w x n g 的， 这个叫做代理端， 现在主流的监控系统都会采用这种代理端的方法来获取信息啊，收集收集的指标很多，网络设备，还有我们的云主机等等都可以。 第二种就是那种没有代理的，没有代理这种方式的那种没有代理的方式主要是针对那种网络设备，你像我们这个路由器交换机的话，它不能够通过这个代理端实现，那通过什么方法实现呢？这里面呢就提到一个非常专专门的通信协议，叫做 smp 协议， 如果 smp 协议采集指标觉得没有问题，那我网络设备还有没有这种代理端的设备，我们都用它来监监控好。除此之外呢，还有一种比方说像云主机监控，那么云主机监控呢？它是在云上面，那这个时候用 xbox 呢？我感觉有点 浪费。那这个时候呢，云监控系统上面就会有一个叫做柏罗密修斯或者类似的产品，包括像有些云主机，它自己有类似的产品线啊，都可以。 好，最后还有一种监控系统叫做分布式，分布式呢，其实就是大名鼎鼎的伯乐米修斯，这个特别适用于云环境等等。 所以现在的监控系统来讲呢，一般来讲分成两条线，有基础环境监控，有网络交换机，基础设备，还有网络各种的配套设备等等。那么首选就是叉 bx， 如果没有这么多产品，我只有云，还有包括有很多云环境，那么我不想用叉 b x 监控，那我就可以直接选择我们的菠萝蜜修斯啊。菠萝蜜修斯这个监控系统呢，最大一个优点就是可以跟云原声原门完完美对接，包括 k p s 环境它也能够对接上来。 所以大家现在所说的监控系统来讲呢，严格上来讲又是两大阵营，一个是针对于云产品，云原生相关的用扎，用波罗密修斯，另外一类的话就是说基础环境比较多，裸裸金属网络等等都要监控进来的话呢，那么就是叉 b x 这两者呢是首选， 还有很多其他的类似的小品牌啊，小产品的都有类似的风格线。好，接下来我们了解完这个产品之后，如何要部署这个环境，因此呢，我们要做一个基础环境整理，首先要先说明一下，我们要做一个 java x 的 部署，那么哪些主键是要有的？ 你电脑上面呢，要有一个网页端，这就是我们所说的 web 服务器。第二个呢，我要有个纯数据的，这个叫数据库，然后呢还需要有一个 java x 的 处理主键，所以说我们一般在部署之前呢，把这一套主东东西称之为 server 端，也就是说我要准备一台 server 端， 然后呢在客户端这里呢要进行区分一下， windows 端和 linux 端就叫做 nget， 然后没有这种设备，没有这种客户端安装的话，那我们就只能通过网络 nsmp 协议采集，所以说我们在做个这个实验之前呢，要最少准备两台虚拟机 啊，一个是安装我们的 server 主键，一个安装我们的 internet， 作为我们的学习的环境，那么考虑到有些小伙伴在电脑上安装过程之中，我要部署的时候很费时间，所以说呢，给大家提供了一个快速安装服务器的一个版本，那么我们今天就以这个 rocky 九点七为例。 好，这里呢，我就快速的给大家演示一下，我现在安装一个 rocky 九点七，需要这个安装包的小伙伴也可以在评论区留言，之后呢可以进获取到啊，我们以这个 rocky 九点七啊，这个是叉 b x server 为例。好，先讲解一下，如果用这种快速部署安装的方法，好，我们现在部署一台快速部署的这个主机环境，我们这里用四个机环境， 然后选择这个 c e d， v d 的 时候呢，我选择快速无人值守啊，就是用这个安装包啊， roky 九点七 out 英式多好，现在呢我们就可以等待一小会，过一会呢我们就能看到一个完整的 roky 系统呢，就部署成功了。好，那么这台呢就作为我们的客户端，那么这台也作为我们的服务器。好，那么接下来我们就正式开始抓 b x 的 部署学习。

大家好啊，这是我最近在做的一个项目，一个完全本地部署的大模型系统，我叫它莫小希， 目前还处于开发与功能业证的阶段，甚至还没有打包成 exe 文件， u i 也没来得及打磨，但它已经能跑起来了，而且它完成了我一直想要的一件事，那就是通过 red 跳出豆包或者 chat gpt 那 个只能上传九个文档的限制， 理论上来说，他能将一整个图书馆都作为他的知识库，我越来越觉得这种本地 ai 的 模式在可玩性和实用性方面，可能比很多人想象的都要高很多，所以我迫不及待的想要和大家分享。 先说一下我为什么会想做这个东西，因为我本科做 b 社的时候，有一段时间真的快被论文搞疯了，几十篇全英文的 pdf 的 论文，然后不同的公式啊，理论啊， 全部散落在各种文献还有教科书里面。我去找豆包或者 deepsea， 他 帮我看的时候就发现一个非常现实的问题，就是文档上传的数量是有限的，然后内容的上下文的长度也是有限的，而且有不少的论文和资料， 其实是课题组内的东西，我不想上传。也就是在这个时候，我萌生了一个想法，一个本地部署的大模型，一个我能够毫无顾忌的给他我自己的资料，我自己的知识库，甚至系统的一个 ai， 是不是一个很好的一个 idea？ 所以 莫小西就这么诞生了，我们可以直接运行主入口程序，这是他现在的一个 ui， 因为目前重点还是验证功能，所以 ui 的 美化可能得之后再说。 上面这个区域就是一个很普通的聊天窗口，和叉的 gpt 或者逗包啥的都是一样的。但真正有意思的地方是在左下角，我们可以进行模式选择， 因为在不同模式下，它其实对应的是完全不同的 prompt 的 策略，以及不同的 rap 解锁逻辑。 比如说最基础的聊天模式，其实很简单啊，他只会在你的输入前面自动加上一句，你是一个通用 ai 助手，再发给大模型，那大模型接收到的就是 你是一个通用 ai 助手，不啦不啦不啦。这个其实和很多 ai 产品没有什么区别，但有意思的在后面，比如这个系统排查模式，模式切换之后，程序会自动读取当前电脑的一部分状态参数。 目前为了验证功能，我只加了 cpu、 内存和字盘占用这三个参数，以后肯定还能见更多。然后我可以输入一句，为什么我打游戏有点卡， 这时候真正发送给模型的内容其实已经变成了你是一个电脑管家，当前 cpu 占用不啦不啦内存占用不啦不啦磁盘占用不啦不啦。用户说为什么我打游戏有点卡， 于是他就会结合系统状态分析，比如这里，他发现我的磁盘占用已经达到了百分之九十多，然后他就告诉我，频繁的磁盘 i o 可能会导致卡顿， 这可能就是打游戏比较卡的原因。当然不用担心我电脑快差了，可能只是开发阶段的时候东西塞太多的正常现象。如果这个视频数据足够好的话，我应该就有钱能够买新硬盘了。 你会发现这种模式其实非常容易扩展，只要换一个 prom 的 策略，再接入不同的数据源，理论上他就能变成学习助手、系统管家、代码助手以及各种别的东西。 为了让这些模式以后更容易扩展，我专门给它做了一层统一的接口，以后新增功能只需要换模板和数据源就行。 从某种意义上来说，这是一个类似 open api， 但比它功能更多的新的 api 格式， 而且通过套壳和转录，可以无缝转成 open api， 然后与大模型交互。这是这次项目我最喜欢的部分，所以我叫它 super api plus pro ultra max elite luxury， 简称 sapphire。 虽然听起来可能像什么山寨的显卡型号啊，不过让我觉得本地 ai 这东西真的有搞头的，其实还是 rock， 也就是它的芝士库系统。 什么是 rap？ 具体的技术解释我估计就得放到以后再出视频介绍了。为了方便理解，我们暂且当他是一个全自动的文献解锁员， 当你问出一个问题时，他会查询一个专门的知识库，若其中有相关的信息，比如论文中对这个问题的解释，教科书中相关的内容等，他就会将这一部分信息传给他模型， 让他能够根据这些信息做出回答，这能大大提高回答的专业度和准确性。我专门做了一个学习科研模式，因为我真的受够了翻论文，尤其是当你已经知道答案就在这一堆文档里，但你根本不知道他藏在哪篇 pdf 里的时候， 那种感觉非常痛苦。所以我现在可以直接给他建立不同的知识点在里面。 我们先切换到学习科研模式，你会发现 ui 里新增了几个地方，我称其为子模块，因为你的课题和领域肯定不止一个嘛。 那作为一个井井有条的现代人，我非常推荐你根据课题的不同新建不同的子模块，然后把你的文档塞进去。这样的话说是存了一整个图书馆的时候，好歹也知道其实要找哪几本书。 我这里仅仅出于验证可行性，新建了三个子模块，分别是库曼算子，这也是我本科必设的课题，还有天文以及量子机器学习。 选择了对应的子模块之后，就相当于告诉程序你已经要进行专研研究了，那个引擎也就只会在这个子模块对应的知识库中进行解锁。点击这里，我们可以添加文档以及删除文档。点击知识库列表，就可以看见目前知识库中的所有文档了。 比如现在我输入什么是库布曼算子，那么现在让个引擎启动解锁内容，然后将匹配的文本一并交给 prompt 合成，在最后传递给大模型的内容。就是这样的， 你是学习科研助手，专注于学术研究，论文写作、知识点解答等学习相关的问答。 rock 解锁到的内容有不啦不啦不啦不啦。用户问什么是库布曼算子？ 好了，回答生成完毕，我感觉准确度还是可以的。而且这里还有一个我自己觉得特别棒的功能，就是在学习科研模式下，它会自动标注这段内容来自哪篇文档，哪个位置，原文是什么。 因为目前幻觉问题依旧是 ai 难以逾越的大山，所以要保持准确，尤其是在科研场景下，你必须要能够回溯来源。 某种意义上来说，莫小希现在已经不是和你聊天的大模型这么简单，而更像一个建立在本地大模型上的可扩展性极强的一个 ai 机座。 而且我觉得他未来还能扩展很多东西，比如自动分析我现在的使用场景，是在工作还是在打游戏，根据场景切换他理解的合适的音乐，让他有权限查看我的文件目录， 给我清理 c 盘的建议，甚至给他一点操作权限，让他自己去玩扫雷和蜘蛛纸牌。 虽然现在听起来还有点抽象，但很多功能其实已经不是技术上能不能做的问题了，而是什么时候做。其实技术已经到了这一步了，很多时候很多事情不是做不到， 而是在线大模型根本不敢碰你的私人资料，也没法真正接管你的电脑权限。 所以为什么我说我推荐大家都来尝试本地部署的大模型，因为他能在保证数据安全的情况下做更多的事，同时也有更高的自由度，你可以做各种预设，来更好应对独属于自己生活中需要应对的工作和麻烦。 后面我应该会专门出几期视频，专门讲一讲 rgg 到底是什么，为什么他特别适合文献整合，我的这个 rgg 引擎又是怎么做的？以及我这个 sapmail api 到底是个什么东西，具体实现了什么功能。 如果你感兴趣的话，欢迎关注，也欢迎在评论区给我一些想法，说不定下一版我真的会加进去。最后， 为什么他叫莫小西呢？莫小两个字当然很好理解，比喻人叫季莫小，而西字其实来自克拉娜的里的钢琴西， 虽然他现在还只是一个没有人格化模块的程序，但我其实挺希望有一天他能真的慢慢变成我的一个赛博女儿。所以如果各位愿意的话，也欢迎一起见证莫小西之后会变成什么样子。 那么这大概就是这期视频的全部内容了，我也会加紧研发，早日端上能够给大家试用的版本，以及多出几期介绍技术细节和功能的视频。也欢迎各位用关注和三连支持一下新人 up 主，我们下期见！

今天讲解一下如何在 windows 系统下启动 top cat， 点击搜索，输入 c m d， 打开命令提示符，或者使用 windows 加二快捷键打开命令提示符。 首先第一步，我们需要进入 tom 开的所在的瓷盘位置，我的是在地盘下加二文件夹下 需要进入 tomcat 的闭幕，如下， 这里输入启动命令，点击回车。 你看到这个 tom k 的框出来以后就是启动成功了，关闭，我们也可以直接在找到这个 tom k 的所在的文件夹位置，进入闭幕录像，点击搜索框， 输入 cmd 回车，直接输入刚才的命令，回车同样可以启动， 或者我们直接在这里点击 set up， 点 bet 双击也可以启动 tomcat。

警告教程耗时一千六百八十小时制作，全面讲解网络安全入门操作核心基础知识，从基础电脑配置到软件安装行 全线进程与日制安全思维，带你沓实网络安全。同时为了保证学习效果，学习网络安全需要的软件工具，文档笔记、视频教程、公房八场面试宝典弹幕六六六即可自取。 最后有什么问题欢迎评论区交流。下面我们正式进入课程，同学们好，本节呢，我们来学习的是 tomcat agp 任意文件提取文件包含漏洞。 好，首先我们来看到这个漏洞的一个详情，它是由 tomcat agp 协议存在缺血而导致的，可以利用该漏洞构造特定的参数 进行文件包含操作，进而读取受影响的，他们看服务器上的微不应用目录下任意键， 无配置文件或源码等。此外，如果目标应用有目文件上传功能， 攻击者还可以利用这个漏洞配合文件包含来进行远程代码执行，从而控制整个系统。它影响的版本呢， tomcat 六， tomcat 七到七点零一， tomcat 八到八点五五一， tomcat 九，九点零三幺之间 好，它这个漏洞原理就是他们 cat 配置了两个监监口，它们分别是 ipad hdp 和这个 agp， hdp 默认端口为八零八零，用于处理我们这个 hdp 请求，而 agp 它默认端口就是八零零九，对于处理 agp 协议请求，而 agp 比 hdp 呢，更加优化，多用于反向集群的。 所以这个漏洞由于这个 app 协议缺陷导致的。可以通过构造特定参数捕取服务器、微博、 app 下任意文件以及可以包含任意文件，如果有某上传的，点上传图片码等，即可以获取相同看的默认 configure server。 点叉喵，中间配置两个 content， 一个为八零八零的对外提供 html html 协议以及 另外一个默认端口，它就是八零零九 html 协议端口，这两个端口呢它经常是默认监听在外网啊， 好，首先我们来到这里，我们可以先看啊，我们使用先开启我们的一个容器环境，首先在这里 我们启动我们的 open compute up 跟 d 构建我们的容器，然后呢查看我们的执行顺序，它这里映射呢端口是 八零八零端口，这个八零零九呢它是映射的是 a g p 协议，这里我们都和一叉一 c 杠 i t， 这里的 d 九五是我们容器它这个前三位， 然后定 d a s h 就是 进入到我们容器里面来，这里我们切到它对应的这个 vivo i n f 这个 服务器木下就是它那个漏洞，它这个能读取任意文件的一个位置，然后这边 l s 它这边就只有一个 vivo。 点叉喵，好，就是我们来到这个位置下就 vivo 叉喵，然后之后我们可以使用我们的卡里 进行一个 mac 的 一个扫描，或者我们这边啊建议就大大家去使用我们的 root 一个行为啊 root 的 这个文件夹，然后打开我们的一个终端， 这里之后呢我们使用 mac， 然后去扫我们的八零幺三零幺六幺二五二二五这个 ip， 好，这里我们可以看到它这里有一个八零零九 a g p 协议以及八零八零 h t t p 协议，那么就说明这个大概率有可能是一个它 cat 的 一个漏洞可能会存在，那么我们这里呢，就使用一个对应的 脚本文件啊，脚本文件就使用我们的 c v 二零一九三八，这个 py 文件就是我们集成好的 python 脚本，我们首先去读它那个 vivo 点 com， 就是 这个去读它的 vivo 点 com 文件啊，我们看一下怎么去读去呢？它就是使用 python 三， 它生成这个文件，然后调用这个 py 脚本，然后指定好一个 ip 杠 f， 就是 你要读取的一个文件，我们要规定好路径，就微博 i n f 下面的微博检查喵，然后点回车之后，它的一个 文件内容呢，能够被我们读取出来，就是任意文件能够被我们读取。假如说我们在我们的服务器上这里生成一个 一点 t s t 文件啊，那么我们是 a 口啊，我们输入给它输入一个 c v 二零二零幺九三八，好，我们 ls 一下，好查看它就是一点 t s t 文件。 然后呢我们 python 三使用我们这个 c v 二零那个，就读取这个一点 t 的 时候，我们就把这个位置呢给它改一下就行了， 就是一点 t o t 文件啊，好，这里就能读出来它是 c v 二零二零幺九三八，也就是把我们刚才写入一点 t o t 文件内容呢，它也就展示出来了，我们还可以是使用 cat 一点 t s t 去读取这个内容啊，这就是造成了我们的一个任意文件取，那么任意文件包含它又是怎么一个写法呢？ 其实就是我们在这个呃，这个里面，我们就是输入啊，假如说它这里面有一个生成了 echo 啊， echo 的 这个 g s p 啊， g g s p 代码，然后我们写进这个 text 点 t s t 里面，然后呢我们如果正常去 cat t s t 那 么它这边输出的就是 hello， 但是如果我们去在我们的卡列里面执行， 假设一个 rce 命令执行的时候，那就是在这里指定好路径之后杠杠 rce 一， 就是指定好我们一个命令执行参数，那么它就会解析这里面的，点击 s p 后缀这个文件啊，你就会把里面写入的这个 hello on to 来我们看刻件啊，就是在这里写了百分之二，还要 low。 这边执行到我们一个 t s p 代码，它写进 t s t 正常来说它执行 cat 的 时候，它是只能展示它原原本本的东西，它不会去解析，不会被任何东西解析掉。 只有当这边使用 rce， 使用这个 python 脚本解析的时候，它的 color 呢才会显现出来，这个就是我们所说的 啊，任意文件提取和任意文件包含 logo 啊，它就包含了这个 text 点 t a t 去解析并且提取。

逼自己一个月学完，你就是 linux 运维大佬，全四六五级存下吧，真的很难找全的！警告，本系列视频耗时七个月制作共计三百六十一小时，让你从零基础小白到 linux 大 佬，掌握 linux 所有重难点知识， 包括环境搭建、需要编程、 dakar、 mesa、 ql、 inginx、 zapix comcat、 应用集群与赋在均衡、 k 八 s 等实用技术点，全部是实际工作中必须掌握的技能，不讲废话，全是重点。 由于视频太长，本套视频分为十五期发布，为了让零基础小伙伴学习起来没有负担，课程中配套资料以及我整理的全套 linux 学习资料，对零基础超有帮助的学习路径已专家评论， linux 学习即可全带走。如果你看到这， 感谢支持一下主播，接下来我们进行系统课学习吧， 今天我们来学习一下叉 bigx 监控系统里面的一些潜讨，学习现在市面上主流的叉，现在市面上主流的开源监控平台有哪些？我们为什么要选择叉 bigx 监控平台？在市面上来讲呢，用的最多的一种是在我们的环境下面监控叉 bigx 这种裸金属硬件设备，另外一种呢，就是我们大家经常所说的普罗密修斯。这种 实际上严格上来讲，我们主流的平台可以做一个基本的划分啊，我们可以划分成这两大阵营，一大阵营的话呢，就是以针对于应用于云产品，云产云原生产品， 云原生产品线，基本上来讲呢，都是以这个普罗米修斯的啊，都是以产品以普罗米修斯，包括现在国内的话呢，还有一个产品叫夜莺， 第一种就是我们这个地方所说的夜音产品线，这个夜音监控的话跟我们的普罗米修士实际上是很相似的，现在像有一些如果用这个云产品监控的，以这套产品线是比较多的一种产品。另外一种的话就是像我们这个企业级 企业级监控，这个企业级监控呢，他可能设备比较多，你像我们的网络设备啊，像网络设备，这个网络设备呢，很多像交换机，有路由器啊，有些可能还有 ups 啊，有些还有什么防火墙等等， 还有上网行为管理。如果像公司里面他有这些产品的话，如果需要做到这种企业级监控， 那么它这个地方首选产品呢？不要选择就是 java x 啊，这是主流再稍微老一点点的产品啊，就是之前一些其他的产品，其他的产品就比较多啊，大家可能有些接触 it 比较早的话呢，有一个叫做 kitty 啊，叫做 kitty， 再老一点呢就是还有一个叫做 nggs。 一 般来讲我们现在大家主流的监控平台一般主要是这样子划分云产品。 还有一个就是企业级叉 b x， 还有像什么 kitty、 nux， 还有一些其他的，包括现在还有些新出的产品线啊，新出的产品线的话，这里给大家做一个烈举说明一下。 好，这里给大家简单介绍一下啊，现在目前为止的话，还有还有一款啊，叫做 open， 叫做 filecoin， filecoin 这个目前为止大家现在市面上主流的监听 filecoin， 企业级叉 b x， 这个 kk 和 lux 呢，就稍微老旧一点点，还有一些其他的产品啊，就这些严格上来讲，我们企业里面的最多的就是柏林修斯，还有一个就是我们的 zx， 还有一些可能用其他的小众品牌的。好，那么选这些监控系统，那我们要注意哪些？ 首先呢，每一个监控系统呢，都会有个监控的平台，监控的平台其实就是使获取数据，获取数据收集，看指标。 然后呢它部署的时候会有几种方式，几种方式有什么不一样？有一些可能部署的时候会带有客户端，这里面呢跟大家说一下，你像我们的 java 呢，它是这样子部署的， java 有 一个叫做 server 端， 然后客户端这里呢，它会有一个 nget， 或者是通过 snmp， 还有通过或者是通过这个 ssh 协议 啊来获取。那么像这个叉 b x 有 这种方式之外，它可能还考虑到有些环境下面它还会有一个叫做代理端，这个主要是针对我电脑无法连接服务器的情况下设置的一种，这种这种托网环境设计的， 那么以此类推，像这个普罗米修斯的话呢，也是差不多啊，普罗米修斯就是我们的服务端，那么客户端这里呢，他就需要安装各种各样的主键，客户端这里可能要安装一下 excel 啊，就是我们大家所说的叫的采集器， 当然了他这里面还有些小伙伴就可能会说了，那么他如果说无法上网的情况下，他也有代理端啊，他的代理端叫什么呢？叫 push get away 啊，它代表团的这个，但是呢它 bigx， 它比较特殊的地方在它每一个呢都有一个功能，它有可能还有一个教授告警端啊，还有一个图形端， 好，市面上所有的招，市面上所有的报警系统，基本来讲都是有服务端后面加上客服端，然后再加上代理端或者别的主键，这就是选择的时候要根据自己的业务情况来选择 好。那么监控平台呢，都会有一个网页端经显示，这就是我们大家现在选择监控平台的时候呢，要考虑一下哪些环境，因为有些环境可能在互联网上面呢，有些环境可能在局域网，那么我在选择这种环境的时候，哎，发现它不太合适，那就用哪种，这个时候就可以自己考虑一下 啊。好，就是刚才呢，我给大家简单的介绍了一下，目前呢主流的监控以及监控平台分别有哪些 好，那么 java 跟其他的主键相比，它具备什么特点？第一个呢，就是 java 的 监控能力呢，它是企业级的，各种应用都能达到， 换句话讲就是说不管哪种需求都能满足，你是云环境还是网络设备还是主机都可以啊，所以它呢在这点设计的比较好。第二个它提供了一个很友好的图形界面，这个特别是对于监控来讲，我们有些是要生成图形化，它里面会有很多模板， 因为我们 java 设备端里面会有监控网络设备的时候，我要生成很多监控图表，生成监控图表他会有模板自带，而且很多厂商呢，他比较支持。这里要重点介绍一下你像我们大家经常会听到的网络产品，我这个网络产品呢，我这个网络产品他有专门的， 他有专门的 java 图形模板，就是原厂家，他这里呢就已经给我们生成好了， 这样我不管是用什么产品，只要有图形模板，那我就能马上生成图形啊，就是网络产品厂商，它有厂商，有 z、 b、 x 的 图形模板，直接套用 这个就很方便啊。而且告警的时候呢，我们也可以直接根据各个指标来经自定义告警，就是告警的时候我可以根据流量，我可以根据端果淡掉之后告警，就说告警呢，也是可以选择多样化 啊，灵活性的也是很好的。在这点上面，这就是很多小伙伴比较看重的地方啊，就这一块， 其中呢他还有一个很很大的优点，就是扎比特警的过程中呢，还能够实现自定义参数，这个是很多厂商比较选中的。 什么叫自定义参数呢？就是我现在监控这个服务器，我可能关注的是网络里面的流量，或者是我想关注一下我们某个文件夹的目录大小空间，或者说我想指定一下某一个目录下面某一个敏感参数到底怎么样，这个都可以通过自定义参数。这个自定义参数其实就是大家所说的通过这个脚本收集啊，通过脚本采集 啊，如果在这个 java 它还有一个别的功能，它还可以做二次开发，有些公司里面它有这个 java 的 二次开发需求，它上面可以二次开发一些插件，这个都是可以的，毕竟它是一个企业级应用， 其中呢最关键的一个点呢， java 的 社区知识是比较活跃的， java 商业化软件，它提供了一个企业功能，然后它对于社区版本呢，它有一个很活跃的 平台文档，文档比较齐全啊，这就是选择叉 b x 呢具备的优势性啊，第一个就是说能力比较突出， 第二个应用性也比较好，最主要的就是知识性比较强。然后呢，如果受到企业落地应用的话，它还能够具备告警、多样化性、灵活性、制定参数，而能够而且能够做二次开发，这就是选择叉 b x 的 首要原因。好，那么这节课里面呢，我们也是了解完这些 java 监控之后，那么我们接下来呢，就来正式了解一下 java 主键到底如何工作，每个主键之间的到底之间是什么个关系。

德国或美国产的 six r p 二三九手枪，由瑞士 swiss arm 设计，是一款半自动手枪，有三五七 s i g 等三种口径。一九九六到二零一八年由德国 s i g s r g m b h。 和美国 s i g s r e。 生产。它全枪长一百六十八毫米， 枪管长九十一毫米，高一百三十二毫米，空枪重约七百七十六克。采用可拆卸弹匣，公弹三五七 s i g 口径弹匣容量激发激发模式有纯双洞 d a o 和双洞单洞 d a s a。 还配备待机解除杆， 可在子弹入膛时安全携带。其衍生型 s i g p 二三九 s a s 配有木质握把片和不锈钢套筒，适合隐蔽携带。该枪因尺寸紧凑，在美国颇受欢迎。二零零四年，美国移民和海关执法局 ice 订购过四十口径的纯双洞型号 p 二三九。