忙了一晚上，配置Papermod主题踩了太多坑。记录一下Hugo的PaperMod主题踩坑历程（包括Safari顶栏颜色配置等）。 一、安装过程 不要使用git add submodule安装主题，否则将无法更改主题内容。正确方法是下载zip文件解压，然后git init。 api.netlify.com始终无法访问，又不在各大pac的名单上，因此开梯子的时候要设置为全局才能上去。 从Hexo转向Hugo后，最大的感受就是编译速度快了不少，netlify的免费额度终于够用了～ 二、配置过程 设置Archive页面时，除了按照官方的做法添加archives.md文件以外，还必须在config.yml下添加如下属性： params: ShowAllPagesInArchive: true 设置params.editPost属性时，在URL上必须加上/tree/master，例如： https://github.com/alvazu/hugo_standalone/tree/master/content 同时，必须设置hidemeta属性，才会显示修改按钮： params: hidemeta: false hideSummary: false 配置TOC的过程，可以参考如下配置，让TOC显示但自动收起： params: showtoc: true tocopen: false 将主页设置为非profile mode时，还必须在config.yml下添加如下属性，首页上的文章列表才能显示： params: mainSections: - post 这是由于在下列语句中，site.Params.mainSections属性返回posts，而site.RegularPages.Type返回post（少了个“s”）： where site.RegularPages "Type" "in" site.Params.mainSections 配置RSS时，首先在config.yml下添加如下属性： params: ShowFullTextinRSS: true 然后将socialIcons属性指向index.xml。 要删除Catagories、Tags页面中的大标题，需要找到/layouts/_default/terms.html文件，将其中的 <h1>{{ .Title }}</h1> （也就是第五行）注释掉。 要删除底部的Powered by Hugo & PaperMod字样，需要找到layouts/partials/footer.html，从第8行开始设置注释：...

一、前期准备 1.1. 环境安装 下载必须环境 NodeJS：下载 | Node.js 中文网 (nodejs.cn) Git：Git - Downloads (git-scm.com) 测试是否安装成功 node -v npm -v git --version 安装cnpm以使用国内景象 npm install -g cnpm --registry=https://registry.npm.taobao.org 安装hexo cnpm install hexo-cli -g hexo -v 1.2. 建立Github仓库 注册GitHub账号（略） 建立GitHub仓库 这里注意，要将Repository name设置为 用户名.github.io，建立一个README.md。 1.3. 生成并绑定ssh key 打开命令行，定位到某文件夹下，输入ssh查看ssh是否已经正常安装。 ssh-keygen -t rsa -C "注册GitHub时使用的邮件地址" # 例如： ssh-keygen -t rsa -C "abc@example.com" # 输入命令后，根据提示按四次回车 生成完毕后，进入.ssh文件夹。Linux/mac用户在~/.ssh/，Windows用户一般在C:\Users\用户名\.ssh，找到里面的id_rsa和id_rsa.pub。 打开GitHub的settings页面，在左边找到SSH and GPG keys，点击绿色的New SSH key按钮。Title随便写都行，并将刚才的id_rsa....

在SQL注入时，有时会遇到一些复杂情况，如：.../info.php?id=MQ==，这种情况就属于编码注入。其基本流程如下： 接收数据 -> base64解密 -> 组合SQL语句 -> 执行返回 注入思路如下： 先解码，结合明文后编码 用如下的表格展现编码注入的部分流程： 原文 译文 备注 1 order by 3 MSBvcmRlciBieSAz 猜测列数 -1 union select 1,2,3 LTEgdW5pb24gc2VsZWN0IDEsMiwz 测试回显 -1 union select 1,database(),version() LTEgdW5pb24gc2VsZWN0ID EsZGF0YWJhc2UoKSx2ZXJzaW9uKCk= 取得库名 使用Tamper 定位到tamper/base64encode.py文件，注意将URL中的MQ去掉 python sqlmap.py -u "XXX.php?id=" --tamper=base64encode.py

域名和房地产很像。 房地产价值首先有其实业的一面，钢筋混凝土，也就是实实在在的居住属性；也有其虚拟的一面，也就是其所处的土地价值、配套的公共服务等，这也就是房地产可炒作的一面。 域名也是类似，首先它有自己实际的功能，也就是用固定的字符串代替动态的 IP 地址；其次还有可炒作的一面，也就是好记、好看，在商业上展现实力等。 如今域名功能性的一面越来越弱势，越来越多的流量通过 app 而不是通过域名。这也造成了严重的两极分化：没有炒作价值的域名几乎一文不值。 另外还有一点我觉得也跟房地产很像：那就是低廉的持有成本。就像国内房产税的缺位一样，一个域名，无论其本身的价值，续费的成本都不过几十几百块（注册商保留域名除外），这导致对一个好域名来说，卖家天然占据优势，除了买家溢价购买的情况下，交易的终止对卖家几乎没有什么损失，从心理上就是卖家占优。 但其中还有一个问题：在 App 时代，普通大众连接到互联网的入口越发不通过域名，可能多数人连域名是什么都不一定知道，这可能一同削弱了域名的炒作价值——多数人都不知道域名是什么，又何谈接收其所带的品牌价值呢？ 就像未来 VR 全面普及、交通业高度发达的时代：多数人的大多数活动（学习工作生活）都不需要去到太远的地方，也不关心自己所处的位置，又何谈房地产的土地价值呢？ 总而言之，域名价格趋向合理应该是趋势，域名持有人也应该积极顺应这一趋势。

SQLMap是一个自动化的sql注入工具，其主要功能是扫描、发现并利用给定URL的SQL注入漏洞，内置了很多绕过插件，支持的数据库有MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB。 SQLMap是一款开源免费的漏洞检查、利用工具. 可以检测页面中get,post参数,cookie,http头等. 可以实现数据榨取 可以实现文件系统的访问 可以实现操作命令的执行 还可以对xss漏洞进行检测 基础入门：https://www.cnblogs.com/php09/p/10404560.html 重要目录详情： 参考https://blog.csdn.net/qq_29277155/article/details/51646932 doc/ —-»>该文件夹包含了sqlmap 的具体使用说明，例如多种语言的简要说明、PDF版的详细说明、FAQ、作者信息等。 extra/ —»>这里包含了sqlmap的多种额外功能，例如发出声响（beep)、运行cmd、安全执行、shellcode等。 lib/ —»>这里包含了sqlmap的多种连接库，如五种注入类型请求的参数、提权操作等。 plugins/ —»>这里包含了各种数据库的信息和数据库通用事项。 procs/ —»> 这里包含了mssqlserver、 mysql、oracle和postgresql的触发程序 shell/ —»>这里包含了多种注入成功后的9种shell 远程连接命令执行和管理数据库 tamper/ —»>这里包含了47种的绕过脚本，例如编码绕过、注释绕过等。 thirdparty/ —»>这里包含了一些其他第三方的插件，例如优化、保持连接、颜色等。 txt/ —»>这里包含了一些字典，例如用户浏览器代理、表、列、关键词等。 udf/ —»>这里包含了用户自己定义的攻击载荷。 waf/ —»»这里包含了一些44种常见的防火墙特征。 xml/ —»>这里包含了多种数据库的注入检测载荷、旗标信息以及其他信息。在这里可以看到进行注入的。 sqlmap.conf —»» sqlmap的配置文件，如各种默认参数（默认是没有设置参数、可设置默认参数进行批量或者自动化检测）。 sqlmap.py* —»» 这是sqlmap 的主程序，可以调用各种参数进行注入任务。 sqlmapapi.py* —»» 这是sqlmap 的api 文件，可以将sqlmap集成到其他平台上。 一些技巧 python3 sqlmap.py -u “URL?...