2023年7月14日发(作者：)

我的web渗透学习⼼得（⼀） 好久没写博客了,上次写博客还是在上学期.⽽且以前写博客都是写写⼀周做了些什么.这次分享⼀些⾃⼰学web渗透的⼀些⼼得吧(仅作个⼈⼼得,谨慎参照,有⼤佬路过还望指点⼀下~).此前⼀直在学Java web.这次趁着五⼀假期好好钻研了下web渗透.其实我⼀直觉得每个学计算机的⼈都有⿊客梦,炫酷吊炸天啊......其实很早我就想学web安全.上学期在⼯作室学了⼀个学期的前端打了下基础.看了很多web安全的路线啊,⼊门书籍啊,视频啊,⼤佬经验啊.寒假的时候看道哥的《⽩帽⼦讲web安全》前⾯还好，勉强看的懂，越看越觉得⾃⼰还要学好多前置知识点。就放下了。个⼈觉得不太适合⼊门。有⼀定基础后再回头品味会⽐较好。其实我⼀直挺后悔⾃⼰学的太晚了，别⼈在我这个年龄都组队去打CTF了(我的⽬标就是作为⼀只web狗去参赛啊~) 。后来我从⽹上找了⽹易云的web安全微专业视频课程，说实话，看⽬录觉得课程很成体系。但每⼀节都很短，⽐如XSS，都只是讲了原理，好吧其实也有实例，看完后好像理解了却难以加以运⽤。再后来，我看cracer的渗透测试视频,很详细,嗯,很详细⼿把⼿教学.可是不适合我,⼀⽅⾯是感觉他有点过时,很多案例我⾃⼰去试就实现不了.另⼀⽅⾯是觉得他讲的主要是⼯具⽅⾯的使⽤.其实我是⽐较喜欢原理的,⽐如SQL注⼊很多都是⼯具实现不了的,需要⼿⼯注⼊.其实我刚开始学渗透的时候是很受挫败的,找不到⽹站去测试,测试也⼤多失败.不过,说实话我的热情从没降低过,学渗透时候的那种感觉是难以⾔喻的快感.然后我发现了⼀个平台 实验吧 ⽤虚拟机构建了攻防环境.真的玩的爽啊.其实类似的平台有很多i春秋啊什么的.下⾯整理下我这周的学习笔记:kaliLinux部分⼯具:Mitmproxy中间⼈代理⼯具拦截http请求,在请求过程中修改数据保存整个http请求的数据延迟客户端的请求和响应反向代理功能透明代理功能使⽤Python做修改⽀持https请求的中间代理功能Owasp-zapOWASP Zed Attack Proxy Project攻击代理(简称ZAP)是⼀款查找⽹页应⽤程序漏洞的综合类渗透测试⼯具.它包含了拦截代理,⾃动处理,被动处理,暴⼒破解,端⼝扫描以及蜘蛛搜索等功能OWASP ZAP为会话类调试⼯具,调试功能对⽹站不会发起⼤量请求,对服务器影响较⼩Parosparos proxy 是⼀个对Web应⽤程序的漏洞进⾏评估的代理程序,即⼀个基于java的web代理程序,可以评估web应⽤程序的漏洞,它⽀持动态的编辑查看 HTTP/HTTPS 从⽽改变cookies和表单字段等项⽬.它包括⼀个web通信记录程序,web圈套程序(Spider),hash计算器,还有⼀个可以测试常见的web应⽤程序攻击(如sql注⼊式攻击,跨站脚本攻击)的扫描器,该⼯具检查漏洞形式包括:SQL注⼊,跨站点脚本攻击,⽬录遍历等Burp Suite是⽤于攻击web应⽤程序的集成平台代理Burp Suit带有⼀个代理,通过默认端⼝8080上运⾏,使⽤这个代理,我们可以截获并修改从客户端到web应⽤程序的数据包web会话安全分析⼯具proxystrike在Web应⽤中，客户端发出⼀次请求，服务器响应⼀次。这构成⼀个完整的会话。通过分析请求和响应的数据，可以发现Web应⽤存在的漏洞。Kali Linux提供⼀款专⽤⼯具ProxyStrike。该⼯具提供HTTP代理功能，可以跟踪HTTP会话信息，并进⾏分析统计。同时，该⼯具也提供拦截功能，安全⼈员可以对每个会话进⾏分析和修改，以获取服务器的不同响应。该⼯具还通过插件模式，提供安全扫描功能。该⼯具默认集成SQL注⼊和XSS两个插件。在捕获会话的同时，该⼯具会⾃动进⾏安全检测，以发现⽬标服务器存在的漏洞。安全⼈员也可以使⽤该⼯具对⽬标⽹站进⾏爬取，以搜集更多的⽹站资源，并同时进⾏安全检测。WebScarab⼀款代理软件,包括HTTP代理,⽹络爬⾏,⽹络蜘蛛,会话id分析,⾃动脚本接⼝,模糊测试⼯具,web格式的编码/解码,web服务描述语⾔和soap解析器等功能模块,webscarab基于GNU协议,使⽤java编写,是WebGoat中所使⽤的⼯具之⼀两个基本案例以SQL注⼊⼊⼿,⽬标为熟悉基本的思路,关注细节信息基本步骤:1.通过Google hack寻找测试⽬标 inurl:asp?id=2.⼀个asp站点的SQL注⼊测试数字型注⼊点SQLmap拆解数据库和表名dump表数据登录后台3.⼀个PHP战舰的SQL注⼊以及管理后台的寻找过程/about/?id=3URL跳转定义:借助未验证的url跳转,将应⽤程序引导到不安全的第三⽅区域,从⽽导致安全问题.实现⽅式:

Header头跳转,JavaScript跳转,META标签跳转SQL 注⼊:万能密码->SQL注⼊原理 ->利⽤和危害SQL Injection是⼀种常见的web安全漏洞,攻击者利⽤这个漏洞,可以访问或修改数据,或者利⽤潜在的数据库进⾏攻击⽤户输⼊⽤户名和密码点击submit后,服务器会把⽤户名和加密后的密码拼接到SQL语句中select name from teacher where name="admin" and passwd="s2g13s1s33d5f1351sdf" limit 1sql注⼊的必备条件1.可以控制输⼊的数据2.服务器要执⾏的代码拼接了控制的数据

SQL注⼊的本质数据代码未分离,即数据当做了代码来执⾏SQL注⼊⼿⼯注⼊1.理解万能密码的使⽤+MySQL环境下的SQL注⼊SQL注⼊在渗透测试过程中的作⽤绕过登录验证使⽤万能密码登录⽹站后台获取敏感数据信息获取⽹站管理员账号,密码等⽂件系统操作'列⽬录,读取,写⼊⽂件等注册表操作读取,写⼊,删除注册表等执⾏系统命令远程执⾏命令哪些地⽅存在注⼊漏洞参数名,参数值,Cookie,⽬录名,⽂件名...使⽤漏洞扫描器寻找注⼊点常⽤的Web漏洞扫描⼯具:啊D注⼊⼯具WebCruiserAWVSNetsparkerSql注⼊的分类按数据类型数字型字符型按返回结果显错注⼊盲注命令注⼊:什么是命令-->命令可以做什么-->命令注⼊解析复合命令:命令拼接&,依次执⾏拼接的命令管道符|,前⾯命令的输出作为后⾯命令的输⼊WebShellWeb⼊侵的脚本攻击⼯具,简单的说,webshell就是⼀个ASP或者PHP⽊马后门,⿊客在⼊侵了⼀个⽹站之后,常常会将这些ASP或者PHP⽊马后门⽂件放置在⽹站服务器的web⽬录中,与正常的⽹页⽂件混在⼀起,然后⿊客就可以⽤web的⽅式通过ASP,PHP⽊马后门控制⽹站服务器,包括上传下载⽂件,查看数据库,执⾏任意程序命令等.使⽤⽅法就是把ASP 或PHP⽊马放到对⽅的web⽬录中然后在浏览器中输⼊路径来使⽤你安排好的⽊马提权提权就是通过获得低权限⽤户在通过漏洞获得最⾼权限的过程⼊侵思路:SQL注⼊拿到⽹站后台-->进⼊⽹站后台上传webshell-->拿到服务器shell---取得对服务器某种程度上操作的权限WebShell的特点Webshell⼤多是以动态脚本的形式出现,也可称为⽹站的后门⼯具Webshell就是⼀个ASP或PHP⽊马后门Webshell可以穿越服务器防⽕墙,由于被控制的服务器或远程主机交换的数据都是通过80端⼝传递的,因此不会被防⽕墙拦截Webshell⼀般不会在系统⽇志中留下记录,只会在⽹站的web⽇志中留下⼀些数据提交记录,没有经验的管理员很难看出⼊侵痕迹⿊客将这些ASP或PHP⽊马后门⽂件放置在⽹站服务器的web⽬录中,与正常的⽹页⽂件混在⼀起,⿊客可以利⽤web的⽅式通过ASP或PHP⽊马后门控制⽹站服务器,包括上传下载⽂件,查看数据库,执⾏任意程序命令等.webshell主要功能:环境探针资源管理器⽂件编辑器执⾏os命令读取注册表创建socket调⽤系统组件........Webshell扩展功能权限提升:从⽹站到系统DDoS:替代传统僵⼫⽹络⽹页挂马:篡改⽹页"⿊帽"SEO:流量劫持代理服务器:请求转发端⼝扫描:隐蔽⾝份内⽹探测:充分利⽤信息Webshell分类全功能型:什么都做⽂件管理:基本⽂件管理命令执⾏:执⾏系统命令上传型:负责上 传"⼤马"⼀句话型:及其精简⼊侵思路:SQL注⼊拿到⽹站后台-->进⼊⽹站后台上传webshell-->拿到服务器shell---取得对服务器某种程度上操作的权限WebShell的特点Webshell⼤多是以动态脚本的形式出现,也可称为⽹站的后门⼯具Webshell就是⼀个ASP或PHP⽊马后门Webshell可以穿越服务器防⽕墙,由于被控制的服务器或远程主机交换的数据都是通过80端⼝传递的,因此不会被防⽕墙拦截Webshell⼀般不会在系统⽇志中留下记录,只会在⽹站的web⽇志中留下⼀些数据提交记录,没有经验的管理员很难看出⼊侵痕迹⿊客将这些ASP或PHP⽊马后门⽂件放置在⽹站服务器的web⽬录中,与正常的⽹页⽂件混在⼀起,⿊客可以利⽤web的⽅式通过ASP或PHP⽊马后门控制⽹站服务器,包括上传下载⽂件,查看数据库,执⾏任意程序命令等.webshell主要功能:环境探针资源管理器⽂件编辑器执⾏os命令读取注册表创建socket调⽤系统组件........Webshell扩展功能权限提升:从⽹站到系统DDoS:替代传统僵⼫⽹络⽹页挂马:篡改⽹页"⿊帽"SEO:流量劫持代理服务器:请求转发端⼝扫描:隐蔽⾝份内⽹探测:充分利⽤信息Webshell分类全功能型:什么都做⽂件管理:基本⽂件管理命令执⾏:执⾏系统命令上传型:负责上传"⼤马"⼀句话型:及其精简