学了一个月的的web安全,也算有点基础,一路走过来不知道掉了多少次坑,在这里总结一下顺便也给新手一点建议。
1.现在初步学了kali的msf,可对目标进行攻击,含各种使用工具。目前已配置网络,可以ping通,但要破解wife密码还是要买网卡
2.抓包工具使用burp suite,进行抓包和暴力破解以及漏洞扫码,现在在尝试破解一下后台密码(已授权)。但工具使用依然不熟练,抓包内容大部分无法看懂,依然要继续学习。
3.sqlmap进行注入攻击,jsfinder扫描子域名,挖洞必备。
4.蚁剑为webshell管理工具,植入木马后可以通过该工具连接。
5.下载了加壳工具以及加花,黑点密码查看及各种通过《黑客攻防,从入门到精通》
6.了解黑客经济来源,如src,护网红蓝队。
7.靶场DVWA已搭好,在进行靶场攻击。
8.看过书籍 1.web安全深度剖析 2.黑客攻防。
9.御剑已下载好,为后台敏感文件扫码工具。
10.信息收集工具:fofa,为空间搜索引擎。
11.win7和w11虚拟机成功下载,已进行病毒及而已代码的复现。
12.了解基本的shell命令。
13.http请求尚未了解完全,需要继续学习。
14.了解漏洞扫码工具nessus,appscan。初步了解使用。
15.cobaltstrike尚未了解如何使用,需要继续学习。
16.使用的编辑器为Subline,vsc pycharm。
17.初步了解html语言,xml语言。
18.远程桌面工具ToDesk,可进行远程帮控。
19.冰河木马,灰鸽子为木马程序。
20.域名劫持。
ok,说了那么多,大概也是我一个月所学的东西了,其他一些琐碎的东西还记着脑子里,写出来估计太混乱了(虽然写的也挺混乱了…),下面是一些对新手的建议。
初步建议学一些编程基础,了解一些基本代码和变量等什么的
要是新手想自学,推荐书籍《web安全深度剖析》。
以及上一些公开课,我喜欢去合天网安和八方网域。
完