h5网页设计代码:黑客入门基础:知道常用名词
本文摘要: 头几天,跟着安界网的老师学完了信息收集专题,这两天,终于要开始正式触摸各种常见的缝隙以及攻击方法了。老师先给我们介绍了一些基础的常识,为了后边学习了解起来更轻松做铺垫,分享给我们。常见的网站编程言语:1)PHP(ASP、
头几天,跟着安界网的老师学完了信息收集专题,这两天,终于要开始正式触摸各种常见的缝隙以及攻击方法了。

老师先给我们介绍了一些基础的常识,为了后边学习了解起来更轻松做铺垫,分享给我们。

常见的网站编程言语:

1)PHP(ASP、Jsp等)


PHP现在来看是WEB开发言语中的大哥大,它是一种"超文本预处理器",简略来说就和C、Java相差不大,PHP是一种动态言语,静态言语就比如HTML一类。PHP的语法混合了C、Java、Perl以及一些PHP自创的语法。上手比较简略一点,因为遇到的比较多的网站都多是PHP编写的,所以PHP是一门浸透测试有必要的基础功。(ASP、Jsp类似)

2)HTML


HTML,我们之前应该有了解过吧,是一种超文本标记言语。

它属于静态言语,和css、javascript等属于我们常听的前端领域。

在学习XSS等缝隙的时分也需要有关HTML的常识。

后续会触摸到的名词:

1)Webshell(木马、后门、shell)


Webshell也叫做木马后门等,它的实质是使用一些函数(如PHP中的eval()函数等)去执行命令、操作,可以对网站的文件进行增删改(条件具有对应的权限),可以执行命令。总而言之,Webshell标志着一场浸透测试中前浸透测试阶段的完毕,然后才是浸透测试阶段的开始。

2)Waf(狗)


Waf即防火墙,一些网站会装置防火墙,一旦检测到一些敏感的操作,如SQL注入中使用到某个命令被检测,就会对应的拦截并且写入日志,有些强力Waf可能会直接ban你的IP(ban就是阻止,不允许这个IP继续拜访该网站)。所以在实战状况中可能容易探测缝隙,可是其实不会很容易的使用缝隙,这个时分就需要和Waf进行对抗(也就是"过狗")

然后老师向我们展示了一次授权浸透测试的过程,并且通知我们,在浸透测试中,往往思路比技能更加剧要。

浸透测试演示笔记:(以下详细的信息内容,纯属虚拟,进攻参考)


老师先对方针网站进行了一次完好的信息收集

WHOIS查询-子域名查询(爆破加查找引擎使用)-端口扫描(Nmap)-目录扫描(dirmap)-中心件信息收集

总结下来有这些信息:

  • 站长姓名:张乐
  • Email:123123@126.com
  • 手机号:1888888888

然后通过社会工程学的小技巧查询到了如下深化信息:
  • 毕业院校:家里蹲大学
  • 网站开放端口:3389(可以判断出是windows体系,且开放RDP效劳,可能存在0708缝隙、弱口令缝隙)、3306(可以判断出网站使用mysql数据库,可能存在弱口令缝隙)、80(正常的HTTP效劳端口)
  • 目录扫描状况:存在robots.txt(由robots.txt里边的内容判断出该网站的后台地点为:http://xxx.com/admin789)、存在fck修改器、存在未授权拜访的sql.php(可以执行sql命令)
  • 中心件信息:该网站使用的Web容器是IIS7.0,可能存在解析缝隙,且网站前台可以注册用户,用户有上传头像的功用

然后老师就开始进行了缝隙探测,下面是探测出来存在的一些缝隙
  • SQL打针缝隙(80端口网站根目录下的sql.php)
  • 文件上传缝隙(结合IIS解析缝隙与前台头像上传)

探测完毕之后,老师开始使用缝隙进行攻击:

老师使用sql.php文件执行命令,得到后台管理员的账号密码(密码通过MD5算法加密,salt未知),尝试添加账号失败,尝试找到肯定途径写shell失败(权限太低)。然后老师就开始尝试使用文件上传缝隙,在前台注册会员后,在头像上传处上传了一张图片木马(内含PHP一句话)结合解析缝隙成功getshell,得到了网站的shell权限。

因为下课时间到了,老师的演示也就到了这里。

虽然很多操作,我都也还不能完全看懂,可是我十分的期待,接下来的学习,我要更加努力!

假如你在过程当中有什么疑问,或遇到其他一些网络信息安全的问题,可以私信安仔,安仔会尽快回复的,终究祝我们天天都有新前进!

欢迎我们点击重视我的头条号,0基础把握更多黑客秘籍

私信回复‘’资料‘’收取更多技能文章和学习资料,加入专属的安全学习圈一同前进

安界贯彻人才培育理念,结合专业研发团队,打造课程内容体系,推进实训平台开展,通过一站式生长方案、引荐就业以及陪护辅导的师带徒效劳,为学员的继续学习和职业开展保驾护航,真正完成和完善网络安全精英的教练场平台;

想完成进高企、就高职、拿高薪,微信重视“安界网”,发送“福利”,获取更多安全福利课程。

即便低学历也可完成职业开展中的第一个“弯道超车”!赶忙私信我!等你来!

【免责声明】本文仅代表作者或发布者个人观念,不代表(www.lmnkf.cn)及其所属公司官方发声,对文章观念有疑义请先联络作者或发布者自己修正,若内容触及侵权或违法信息,请先联络发布者或作者删除,若需我们协助请联络平台管理员,Emailcxb5918(本平台不支撑其他投诉反馈渠道,谢谢合作)。若需要学习以上相关常识请到巨推学院观看视频教程,网站地址www.tsllg.cn。

相关内容