先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
墨者学院靶场题(命令注入执行分析,黑盒通过应用功能分析):
首先确定操作系统,看一下网络数据包
通过ubuntu确定应该是linux操作系统(有利于后续命令执行)
补充知识:
常见的基于 Linux 内核构建的操作系统有:
- Ubuntu:一个流行的桌面和服务器操作系统,提供了友好的用户界面和强大的软件管理工具。
- Debian:一个稳定、安全的操作系统,被广泛用于服务器和嵌入式设备。
- CentOS:一个专注于企业级应用的操作系统,提供了长期支持和稳定性。
- Fedora:一个面向开发者和技术爱好者的操作系统,提供了最新的软件和技术。
- Arch Linux:一个面向有经验的用户的操作系统,提供了高度定制和灵活性。
- openSUSE:一个多用途的操作系统,适用于桌面、服务器和嵌入式设备。
- Red Hat Enterprise Linux (RHEL):一个专业的企业级操作系统,提供了高级的支持和安全功能。
这些操作系统都是基于 Linux 内核开发的,各自有着不同的特点和适用场景。
首先我们看到了页面,有ping操作,因此我们先猜测此处有命令执行,我们先输入一个地址看一下
发现返回了地址信息,因为有回显我们可以通过执行命令ls,看一下其目录
结果发现命令格式有误,应该是存在地址校验。
那我们试一下在地址后面再加上一条命令尝试绕过
还是格式不正确,但是有弹窗。
我们可以联想到它应该是在前端进行了校验
于是我们检查前端代码
果然在前端进行了校验,我们将onsubmit后边改为return true 进行前端绕过,再尝试一下
绕过成功,发现文件名,进行读取
补充知识:cat命令通常用于Unix和类Unix系统中用来查看文件的内容。
在ping命令中使用cat命令时,通常会使用重定向操作符"<",其作用是将cat命令的输出作为ping命令的输入。这样可以将cat命令输出的内容传递给ping命令进行处理。
最后读取到了flag
墨者学院靶场题(PHP代码分析溯源,白盒代码审计):
首先看题,发现把代码展示了出来,并告知了key在根目录
因为代码进行了加密和解密,我们先解密出源代码
(直接复制在php编译器上输出一下)
发现解密后的代码时这样的
因为其接受request请求所以我们利用url发送一下请求(本来eval是代码执行函数,但是后边加了反引号
,进行了命令执行)
补充信息:在Linux中,反引号
和 $()
都可以用来执行命令并将其结果赋值给变量。这两种方法的作用是相同的,但推荐使用 $()
,因为它更易读且更容易嵌套。
学习路线:
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
(备注网络安全)**
[外链图片转存中…(img-ETXMGRIk-1713432811938)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!