【学习记录】网安夏令营学习笔记

muchenfeng

注:恶意攻击互联网网站及操作系统属于违法行为!!!



什么是Web安全什么是WebWeb是互联网的总称,全称为World Wide Web,缩写WWW,既全球广域网,也称万维网,
他是一种基于超文本和HTTP的全球性的,动态交互的,跨平台的分布式图形信息系统.
    简单来说,Web是一种体系结构,通过它可以访问遍布因特网主机上的链接文档.
什么是Web项目通过浏览器打开的网站或系统
如
{
    淘宝商城系统,
    新浪资讯网站,
    各种小说网站,
    各种视频网站,
    各种CMS内容管理系统,
    各种ERP系统,
    ...
}
什么是Web安全web安全简单来说就是网站的安全,那么我们需要学习的是,网站上面可能出现那些漏洞,
如何寻找这些漏洞,如何利用这些漏洞.
漏洞挖掘漏洞定义:
官方定义:漏洞是在硬件,软件,协议的具体实现或系统安全策略上存在缺陷,从而使攻击者能够在未授权的情况下访问或破坏系统.
通俗:只要可以给厂商才来损失的全都是漏洞.
Web漏洞靶场搭建漏洞靶场之DVWAPHP环境:Windows Apache Mysql PhpDVWA源代码:https://github.com/digininja/DVWA/archive/master.zipphpstudy下载:链接：https://pan.baidu.com/s/1n8L6hdAVyZ4iGvXYdiF2Ng?pwd=x169
提取码：x169
--来自百度网盘超级会员V8的分享靶场百度网盘链接:链接：https://pan.baidu.com/s/1gCMCrxbP4AqUkKKGp5BXEQ?pwd=as00
提取码：as00
--来自百度网盘超级会员V8的分享6步搭建DVWA1.下载PHPstudy2.将解压后的DVWA源代码放置在安装目录的WWW文件夹3.进入DVWA/config目录,将config.inc.php.dist最后的.dist删去4.打开config.inc.php文件,修改db_user和db_password5.浏览器访问http://127.0.0.1/DVWA/setup.php,点击最下方的Create Database        未配置,显示hello world5.1) 配置勾选允许目录列表        2.进入网站根目录index改成index1    l改成l13.allow_url_include更改：打开php_in查找allow_url_include,将off修改为On注:每次修改都要重启PHPstudy



555 复制粘贴好费劲啊，不会用网站写，写在md文档上了有需要的小伙伴自取链接：https://pan.baidu.com/s/1801YOhf-aodUgoa_YSUhwg
提取码：52pj
--来自百度网盘超级会员V8的分享网安小萌新，大佬勿喷（手动比心）

muchenfeng

学习记录：第二天训练营笔记
1.     jdk安装

   1.1  双击打开jdk1.8.0，运行安装程序

   1.2  进入系统环境变量新建JAVA_HOME
   1.3  在path下添加%JAVA_HOME%/bin和%JAVA_HOME%/jar/bin

      1.3.1        win7环境下在最后一条后面要加;在进行输入

      1.3.2        要添加在系统变量

   1.4  输入 java -version 查看java版本

   1.5  输入 javac -version 查看版本
   1.6  注：一定要1.8.0，否则burp无法运行

   1.7                                

   1.8  已安装


2.     Python环境安装  

   2.1  kali自带   2.2  windows 请前往官方网站下载。
   2.3  双击python-x.x.x.exe
   2.4  

   2.5  第二个红框框要勾选上，会自动添加环境变量
   2.6  Cmd 运行python命令

   2.7  

   2.8  Python环境安装完必


3.     Burp安装   

   3.1  在百度网盘/阿里云盘下载好压缩包文件
   3.2  运行 burp-loader-keygen-2_1_04.jar

   3.3  点击

   3.4  将License框内复制粘贴到burp的框框内
   3.5  选择倒数第二个按钮（手动激活）
   3.6  将burp第二个框的内容复制到keygen的Activation Request下

   3.7  将新生成的内容复制到burp最后一个框内完成激活

   3.8  

   3.9  已完成激活


4.     Burp使用   

   4.1  火狐安装foxproxy；chrome安装proxy switchyomega
   4.2  设置代{过}{滤}理名字自选，代{过}{滤}理类型http，ip：127.0.0.1；端口：8080
   4.3  只能抓取http，不能抓取https

      4.3.1        抓取https需要证书
      4.3.2        打开burp
      4.3.3        

      4.3.4        红线改为on 打开插件选择配置好的代{过}{滤}理，进入http://burp

      4.3.5         点击下载


注：空着的地方是图片，暂时没学会图片怎么放到对应位置就没搞，原笔记在网盘，小白一枚，大佬勿喷，谢谢呀


笔记网盘：
链接：https://pan.baidu.com/s/1FG99qboVmB43sLcd7swSoA
提取码：52pj
--来自百度网盘超级会员V8的分享

muchenfeng

SQL注入盲注基础

1.        SQL注入原理：

    1.1        SQL注入产生的原因：当Web应用向后台数据库传递SQL语句进行数据库操作时，如果对用户输入的参数没有经过严格的过滤处理，
        那么攻击者就可以构造特殊的SQL语句，直接输入数据库引擎执行，获取或修改数据库中的数据。

    1.2        SQL注入的本质：把用户输入的数据当代码来执行，违背了“数据与代码分离”的原则。

    1.3        SQL注入两个关键点

        1.3.1        用户能够控制输入的内容。

        1.3.2        Web应用把用户输入的内容代入到数据库中执行。


2.        SQL注入的危害

    2.1        盗取网站敏感信息。

    2.2        绕过网站后台认证。

        2.2.1        后台登陆语句：

        SELECT* FROM admin WHERE username = ’user’ and password = ‘pass’

        2.2.2        万能密码：’ or ‘1’ = ‘1’ #

    2.3        借助SQL注入漏洞提权获取系统权限。

    2.4        读取文件信息。

3.        SQL注入的分类

    3.1        根据注入位置分类：GET型，POST型，Head头注入。

    3.2        根据反馈结果分类：有回显（显错注入）、无回显（盲注）。

    3.3        根据数据类型分类：

        3.3.1        数字型：输入的参数为整形，如id、年龄、页码等。

        3.3.2        字符型：输入的参数为字符串。

    3.4        数字型与字符型最大区别在于：数字型不需要单引号闭合，而子字符串型一般需要单引号闭合。

4.        SQL注入的流程

    4.1        寻找注入点

        4.1.1        网站账号登录入口。

        4.1.2        搜索框。

        4.1.3        网站网址栏

    4.2        判断闭合方式

    4.3        验证

    4.4        判断列数及回显位

    4.5        取数据（在挖取src过程中，是不能取数据的）

        4.5.1        取数据库名

        4.5.2        根据数据库名，取表名

        4.5.3        根据数据库名，表名，取列名

        4.5.4        取具体数据

5.        盲注的介绍及分类

    5.1        盲注的概念

盲注就是在SQL注入过程中，找到注入点后，执行SQL语句后，选择的数据或者错误信息不能回显到前端页面。
需要一些方法进行判断或者猜测，这个过程称之为盲注。

    5.2        盲注的分类

        5.2.1        基于布尔判断的盲注

        5.2.2        基于时间延迟的盲注

        5.2.3        基于报错显示的盲注

6.        盲注常用函数

    6.1        substr(string,start,lenght)

        6.1.1        功能：截取字符串功能

        6.1.2        返回值：截取后的字符串

        6.1.3        参数

            6.1.3.1        string：操作字符串

            6.1.3.2        start：开始位置

            6.1.3.3        length：截取长度

        6.1.4        举例1

        Ret = substr(“hello kali”,2,4);

        Ret = “ello”;

        6.1.5        举例2

        substr(database(),1,1) > ‘a’

        判断数据库名第一位是否大于a；

        再查看其他位进行判断

    6.2        Left(string, n);

        6.2.1        功能：返回字符串最左边n个字符所组成的字符串

        6.2.2        举例1

        Ret = left(“redhat”, 3);

        Ret = “red”;

        6.2.3        举例2

        Left(database(),2) = ‘se’

        判断数据库前2个字符是否为se

        再查看其他位进行判断

    6.3        right(string, n)

        6.3.1        功能：返回字符串最右边的n个字符所组成的字符串

        6.3.2        返回值：字符串

    6.4        Ord(char)

        6.4.1        功能：返回字符的ASCII码

    6.5        ascii(str);

        6.5.1        功能：返回字符str或字符串str最左边的ASCII码

    6.6        Length(str);

        6.6.1        功能：返回字符串长度

    6.7        ifnull(str1, str2);

        6.7.1 功能：若str1 ！= NULL 返回str1，反之返回str2；

7.        什么是ASCII码

    7.1        ASCII又叫做美国信息交换标准代码

    7.2        由8位二进制数组成 取值 0 – 255

    7.3        ASCII存储了常用的数字字母符号


注：这次的笔记纯文本，和网盘内笔记一样
链接：https://pan.baidu.com/s/1z456P6UjCNBc6bcR6kEsLQ
提取码：52pj
--来自百度网盘超级会员V8的分享

muchenfeng

第四天笔记：
SQL注入盲注原理与利用
1.   SQL注入盲注原理与利用
1.1         布尔盲注介绍
1.1.1  指利用SQL语句逻辑与（and）操作，判断and两边的条件是否成立，SQL语句带入数据库后判断返回内容（通常返回值仅有空和非空两种状态），类似bool型的true和false两种状态。
1.2         布尔盲注的特征
1.2.1  在页面中，如果正确执行了用户构造的SQL语句，则返回一种页面，若执行错误，则返回另一种页面。基于两种页面，来判断SQL语句是否正确，来达到获取数据的目的。
2.   布尔盲注的流程
2.1         确定注入点
2.1.1  通过增加‘和增加--+注释符，语句执行失败变为执行成功判断注入点
2.2         判断数据库版本
2.2.1  原因：因为5.0版本以下没有information_schema数据库，无法进行手动注入；
2.2.2  方法：由于无法回显数据，利用逻辑操作与数据库版本第一位数字字符做判断
2.2.3  例子：?id=1’and left(version(),1)=5--+
2.3         判断当前查询数据库的长度
2.3.1  由于无法回显数据，先判断当前数据库的长度，减小后面猜解数据库名称的工作量
2.3.2  例子：?id=1’and length(database())=8--+
2.4         猜解当前数据库名称（本步骤需要重复）
2.4.1  方法：利用第三步确认数据库长度，结合substr函数，一个一个字符猜解
2.4.2  例子：?id=1’and ascii(substr(database(),1,1))>97--+
2.5         猜解数据表数量
2.5.1  方法：count()函数，利用二分法
2.5.2  例子：?id=1’and (select count(table_name)from information_schema.tableswhere table_schema=database())=4--+
2.6         猜解第一个数据表名称长度
2.6.1  方法：length函数，利用二分
2.6.2  例子：?id=1’and length((elect table_name from information_schema.tableswhere table_schema=database()limit,0,1))6--+
2.7         猜解第一个数据表名称的第一个字符
2.7.1  方法：ascii函数,substr函数，一个一个字符猜解，利用二分
2.7.2  例子：?id=1’and acsii(substr((select table_name frominformation_schema.tables where table_schema=database()limit0,1),1,1))>97--+
2.8         猜解数据表中字段的数量//列数
2.8.1  方法：count()函数，二分
2.8.2  例子：?id=1’and(select count(cllumn_name)from information_schema.columnswhere table_schema=database()and table_name=”表名”)=2--+
2.9         猜解第一个数据表名中的第一个字段的长度
2.9.1  方法：length函数,二分
2.9.2  例子：?id=1’andlenght((select column_name from information_schema.columnswhere table_schema=database() and table_name=”表名”limit0,1))=2--+
2.10    获取字段中的记录
2.10.1     方法：ascii函数，substr函数，一个一个字符猜解
2.10.2     例子：?id=1’and ascii(substr((select group_concat(列名)from 表名),1,1)=49--+


笔记网盘链接：链接：https://pan.baidu.com/s/19sckaeszewhQ2wSNwfsOeg
提取码：52pj
--来自百度网盘超级会员V8的分享

muchenfeng

第五次笔记
自动化注入神器SQLMAP的使用
1.     什么是漏洞挖掘
             1.1  漏洞挖掘：漏洞挖掘是指对应用程序中位置漏洞的探索，通过综合应用各种技术和工具，尽可能地找出其中的潜在漏洞。一般情况下的漏洞挖掘针对单一的应用系统，通过端口扫描、目录扫描、文件扫描等方式对其进行信息收集，然后进行漏洞挖掘
             1.2   

2.     Python环境安装
             2.1  https://www.python.org/ftp/python/
             2.2  file:///C:/Users/86155/AppData/Local/Temp/msohtmlclip1/01/clip_image002.png

3.     Sqlmap使用
             3.1  工具介绍：sqlmap是有一个使用python语言开发的开源的渗透测试工具，可以用来自动化检测，利用Sql注入漏洞，获取服务器权限，它具有强大的检测引擎，针对各种不同类型数据库的渗透测试的功能选项，包括获取数据库中存储的数据，访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令
             3.2 测试单目标(get型)
             3.3 python sqlmap.py -u http://127.0.0.1/?id=1

             3.4 python sqlmap.py -u http://127.0.0.1/?id=1&page=10 -p page
             3.5 python sqlmap.py -u http://127.0.0.1/?id=1&page=10 -p page -batch
                          3.5.1    -u 指定url
                          3.5.2    -p 指定注入点
                          3.5.3    batch自动化测试，需要选择全部默认为y
             3.6 python sqlmap.py -u http://127.0.0.1/?id=1 --dbs
             3.7 python sqlmap.py -u http://127.0.0.1/?id=1 -D security --tables
             3.8 python sqlmap.py -u http://127.0.0.1/?id=1 -D security -T users --columns
             3.9 python sqlmap.py -u http://127.0.0.1/?id=1 -D security -T users -C id --dump
                          3.9.1    --dbs获取数据库名字
                          3.9.2    --tables获取比数据库表名
                          3.9.3    --columns获取字段名字
                          3.9.4    --dump获取数据(拖库(无授权情况下禁止使用))
4.    测试多目标
             4.1 python sqlmap.py -m test.txt
                          4.1.1    -m 指定目标文件
5.    测试post型注入
             5.1 python sqlmap.py -r test.txt
                          5.1.1    -r 指定要测试的数据包(先用burp抓包)
6.    sql的常见的特征
             6.1 ?id=1
             6.2 ?xxx=xxx
7.    谷歌黑客语法
             7.1 inurl:?id=1
             7.2 inurl:?id=1 公司
             7.3 inurl:?id=1 产品
             7.4  




  笔记网盘地址：链接：https://pan.baidu.com/s/17Rpd3FrrzYpp1GhfLjd2Aw
提取码：52pj
--来自百度网盘超级会员V8的分享

muchenfeng

第六天笔记
网络安全人人有责，

暴力破解网站账号和密码
为什么要暴力破解：获取用户名和密码
1.     爆力破解的准备工作
        1.1  靶场
        1.2  爆破工具burp
        1.3  字典
2.     如何暴力破解
        2.1  配置代{过}{滤}理


        2.2  Burp抓包

        2.3   发送到Intruder爆破模块，设置攻击模式和字段（Positions）
      

        2.4  攻击模式介绍

        2.5  设置payloads

        2.6  开始攻击

        2.7  根据length排序，过滤结果

      
3.     如何防御
        3.1  网站
                3.1.1        密码密文传输和存储
                3.1.2        限制错误次数，锁定ip
                3.1.3        限制密码尝试问题
                3.1.4        二次验证
                                3.1.4.1   图片验证码
                                3.1.4.2   短信验证
                                3.1.4.3   客户端扫码
                                3.1.4.4   人脸识别
                3.1.5        锁定ip，禁止访问 –WAF IDS/IPS
        3.2  用户
                3.2.1        密码尽量复杂
                3.2.2        不同网站不同密码
                3.2.3        不定期修改密码
                3.2.4        上网时检查域名，防止钓鱼
4.     在线加解密网站
        4.1  Md5 https://www.cmd5.com/
        4.2  综合类型加解密
                4.2.1        https://www.sojson.com/encrypt/
                4.2.2        http://tools.bugscaner.com/encodeanddecode/
                4.2.3        http://encode.chahuo.com/
                4.2.4        http://tools.jb51.net/password/
                4.2.5        http://www.metools.info/code/c28.html
        4.3  凯撒密码加密解密
        https://www.qqqxiuzi.cn/bianma/kaisamima.php


word笔记：链接：https://pan.baidu.com/s/1XYlC8Jg1HBmfTdH4N21chA
提取码：52pj
--来自百度网盘超级会员V8的分享

muchenfeng

笔记7and笔记8


2.     什么是文件包含
2.1  什么是文件包含漏洞：
2.1.1        文件包含：开发人员将可重复使用的内容写到单个文件中，使用时直接调用此文件。
2.1.2        文件包含漏洞:开发人员希望代码更加灵活，有时会将包含的文件设置为变量，用来动态调用，由于这种灵活性，可能导致攻击者调用恶意文件，造成文件包含漏洞。
2.1.3        文件包含特性：只要被包含的文件内容符合PHP语法，不管文件类型是什么，该文件都会被PHP解释器去解析执行；如果文件内容不符合PHP语法，就会将该文件内容读取出来。
2.2  漏洞危害
2.2.1        敏感信息泄露
2.2.1.1   windows常见敏感文件
2.2.1.1.1         c:\boot.ini                                  查看系统版本
2.2.1.1.2         c:\windows\system32\inetsrv\MetaBase.xml    iis配置文件
2.2.1.1.3         c:\windows\repair\same            存储Windows系统初次安装密码
2.2.1.1.4         c:\ProgramFiles\mysql\my.ini     mysql配置信息
2.2.1.1.5         c:\ ProgramFiles\mysql\data\mysql\user.MYD mysql root密码
2.2.1.1.6         c:\windows\win.ini                     系统信息，常用于注入木马
2.2.1.2   Linux常见敏感文件
2.2.1.2.1         /etc/passwd                              账户信息
2.2.1.2.2         /etc/shadow                              账户密码文件
2.2.1.2.3         /etc/apache2/apache2.conf       Apache2默认配置文件
2.2.1.2.4         /etc/my.conf                              mysql配置文件
2.2.1.2.5         /etc/php/5.6/apache2/php.ini    php相关配置
2.2.1.2.6         /etc/httpd/conf/httpd.conf        apache配置信息
2.2.1.3   相关函数
2.2.1.3.1         include（）当使用该函数包含文件时，只有代码执行到include函数时才将文件包含进来，发生错误时只给出一个警告，继续向下执行
2.2.1.3.2         include_once()功能与include相同，区别在于当重复调用同一文件时，程序只调一次
2.2.1.3.3         require()功能与include相同，区别在于发生错误后输出错误信息并停止执行
2.2.1.3.4         require_once()与require相同，却别在于当重复调用同一文件时，程序只调用一次
2.2.2        获取webshell
2.2.3        任意命令执行
3.     文件包含的分类
3.1  本地文件包含（LFI）：当包含的文件在服务器本地时，就形成了本地文件包含。
3.2  远程文件包含（RFI）：当包含的文件在远程服务器上时，就形成了远程文件包含
3.2.1        远程文件包含时，需要更改php.ini中的相关配置文件Allow_url_include = onAllow_url_fopen = on
3.2.2        远程文件包含---包含一句话木马
3.2.3        结合伪协议直接getshell  

4.     PHP伪协议
4.1  什么是php伪协议
4.1.1        PHP带有很多内置URL风格的封装协议，用于类似fopen()，copy(),file_exists()和filesize()文件系统函数
4.1.2        具体协议请参照http://www.php.net/manual/zh/wrappers.php
4.1.3        封装协议的URL语法仅支持scheme://…的类型的语句
4.2   部分协议
4.2.1        file://                 ---访问本地文件系统
4.2.1.1   作用：用于访问本地文件系统，常用来读取本地文件
4.2.1.2   使用方法：[url=]file://文件的绝对路径和文件名[/url]
4.2.1.3   实例：绝对路径：http://127.0.0.1/include.php?file=file://c:/windows/win.ini相对路径：http://127.0.0.1/include.php?file=./phpinfo.txt
4.2.2        http://               ---访问http网址（https://）
4.2.2.1   使用条件：allow_url_include:on  allow_url_fopen:on
4.2.2.2   作用：访问远程文件或资源，常用于远程包含
4.2.2.3   举例：http://127.0.0.1/01yijing/include/test.php?file=http://www.baidu.com/tobots.txt
4.2.2.4   
4.2.3        ftp://                 ---访问ftp(s)URLs
4.2.4        php://               ---访问各个输入输/出流(I/O streams)
4.2.4.1   访问各个输入输出流常用的是php://filter和php://input
4.2.4.2   Php://filter常用于读取源码
4.2.4.3   Php://input用于执行PHP代码
4.2.4.4   PHP提供了一些杂项输入输出流，允许访问php的输入输出流、标准输入输出和错误描述符，内存中，磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器  
4.2.5        zlib://                ---压缩流（zip://  bzip2://）
4.2.5.1   作用：属于压缩流，可以访问压缩文件中的子文件，可以不需要指定后缀名，可修改为任意后缀
4.2.5.2   举例：zip://[压缩文件绝对路径]%23[压缩文件内的子文件名](#编码为%23)
4.2.5.3   例子：压缩phpinfo.txt为phpinfo.zip，压缩包重命名为phpinfo.jpg，并上传http://127.0.0.1/include.php?file=zip://D://phpinfo.jpg%23phpinfo.txt
4.2.5.4   只能使用绝对路径
4.2.6        data://               ---数据
4.2.6.1   使用条件同http
4.2.6.2   作用：自php>=5.2.0起，可以使用data://数据流封装器，以传递相应格式的数据，通常可以用来执行php代码
4.2.6.3   用法：data://text/plain,<?phpphpinfo();?>
4.2.7        glob://               ---查找匹配的文件路径模式
4.2.8        phar://              ---PHP归档
4.2.8.1   作用：属于压缩流，可以访问压缩文件中的子文件，不需要指定后缀名，可修改为任意后缀，如jpg png gif xxx 等
4.2.8.2   举例：http://127.0.0.1/01yijing/include/test.php?file=phar://D:/ryan.zip/ryan.txt
4.2.8.3   可以使用相对路径，也可以使用绝对路径
4.2.9        ssh2://               ---安全外壳协议2
4.2.10    rar://                 ---RAR
4.2.11    ogg://               ---音频流
4.2.12    expect://                  ---处理交互式的流
5.     包含日志文件
5.1  Apache日志文件---开启access.Log
5.1.1        一般apache会存在两个日志文件
5.1.1.1   访问日志文件（access.log）访问日志默认是不开启
5.1.1.2   错误日志文件（errror.log）
5.1.2        Apache开启了日志功能时，会主动记录外部访问到access.log
5.1.3        
5.2  访问php应用 -> 查看access.log
5.3  使用burp发包 -> 查看access.log
5.4  Getshell---本地文件包含日志文件
6.     防御方式
6.1  设置白名单：代码在进行文件包含时，如果文件名可以确认，可以设置白名单对传入的参数进行比较
6.2  过滤危险字符：严格检查用户的输入，参数中不允许出现../之类的目录跳转符
6.3  关闭危险配置：PHP配置中的allow_url_include选项如果打开，php会通过include/require进行远程文件包含，由于远程文件的不可信任性及不确定性，在开发中禁止打开此选项。Php默认是关闭的
6.4  限制文件包含路径：比如只能包含摸个目录内的，PHP中有open_basedir选项可以设置用户需要执行的文件目录，如果设置目录的话，PHP仅在该目录搜索文件
6.5  严格判断包含中的参数是否外部可控，精良不要使用动态包含，可以在需要包含的页面固定写好，如include（‘head.php’）



word笔记网盘地址：链接：https://pan.baidu.com/s/1z338KTHbXQjHrd-3X0zDHQ
提取码：52pj
--来自百度网盘超级会员V8的分享