先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
三、实验原理:
1、根据密码攻击的原理:在不知密钥的情况下,推算出密码明文;
2、根据密码攻击的方法:
1)穷举法:依次遍历所有的密钥对密文进行破解,或用一个确定的密钥对所有明文进行加密。此方法受时间和存储空间的限制。
2)统计分析攻击:通过解析密文和明文的统计规律来破解密码。此方法需人工分析统计,从而找出其中的规律、对应关系等信息。
3)数学分析攻击:结合数学基础、密码学等,对加密解密算法分析分析破解。此方法需要人工参与分析计算。
3、根据Hydra工具的作用:用此工具进行暴力破解,可在线破解多种密码。结合相关攻击协议、模块进行破解,如协议AFP、CVS、FTP等。并提供多种登录机制。此工具操作简单,提供图形化界面。
4、根据SSH、FTP协议的特点,ssh是securety shell(安全外壳协议)的缩写,是一种网络协议,作用是用于计算机之间的加密登录;FTP协议提供交互式的访问,允许客户指定存储文件的类型与格式,具备鉴别控制能力,屏蔽了计算机系统的细节。本实验将使用Hydra对SSH和FTP协议进行密码破解。
四、实验步骤:
(一)破解SSH密码
1、登录主机2,设置被攻击主机SSH服务,执行以下命令配置"sshd_config"文件,“$ sudo vim /etc/ssh/sshd_config”。输入密码"root@openlab",将配置文件中的"PermitRootLogin without-password"注释掉,并加一行命令"PermitRootLogin yes"。注释的目的是为root账号开启ssh登录,防止ssh服务拒绝密码。"PermitRootLogin yes"的作用是允许root登录。
PermitRootLogin可以限定root用户通过ssh的登录方式,如禁止登陆、禁止密码登录、仅允许密钥登录和开放登录。without-password参数类别是允许ssh登录,登录方式除密码以外,交互shell没有限制。
重新启动ssh服务,将以上的设置生效。“$ sudo service ssh restart”。
2、登录主机1,手动创建用户名字典和密码字典,为后续的破解做准备工作。执行命令"vi user.txt",添加用户名,执行命令"vi password.txt",添加密码。并保存退出。如用户名"root"、“linux”、“user”,密码"123"、“admin”、“root@openlab”。
此输入的用户名和密码只为学习破解流程,正在需要实际破解时,要利用密码字典生成器生成强大的字典。
3、启动hydrg-gtk工具,进行破解。
1)在Target选项卡下,设置Single Target地址,即攻击目标系统的地址,30.0.1.4(主机2),设置协议为SSH,勾选Output Options框中Show Attempts的复选框,可以查看密码攻击的过程。
2)在Password选项卡下,添加字典,指定用户名和密码,列表文件勾选“Username List”并单击后面的空框,在弹出框中选择刚刚创建的用户名列表文件。同理,完成密码列表文件的选择,最后勾选"Loop around users"选项,用来循环访问用户。
3)在"Tuning"选项卡下,自定义任务编号、超时时间,Number of Tasks设为16,Timeout设为30,勾选"Exit after first found pair"的复选框,表示找到第一对匹配项时则停止攻击。
4)在"Start"选项卡下,单击"Start"按钮,进行攻击。
破解出的用户名密码为root/root@openlab。
4、强壮密码设置,将主机2的登录密码设置复杂,执行"sudo passwd"命令,重设用户root的密码为"root@openlab123"。返回主机1,启动hydrg-gtk工具,再次破解,可看出,由于字典的限制因素,此次破解失败。暴力破解需要强大的字典库作为支撑。
(二)破解FTP密码
1、登录主机2,执行命令"sudo passwd"命令回复root之前的密码。
2、同SSH配置原理,执行"sudo vi/etc/ftpuser"命令,修改配置文件ftpusers,将文件中的root注释掉,并保存。让ftp允许root登陆,即让root账户从禁止登录的用户列表中排除。并执行命令"sudo service vsftpd restart",重启vsftp服务,生效以上配置。
3、同SSH破解原理,启动hydra-gtk工具,设置Target、Password、Tuning、Start选项卡下的相关信息,此处选择的协议是FTP协议。设置完成后,进行第一次破解,可看出,正常破解。同理,再次提高密码的健壮性,进行第二次破解,可看出,破解失败。
五、实验现象、结果记录及整理:
1、对SSH、FTP进行破解时,在字典弱,密码弱的情况下,可轻松破解;在字典弱,密码强的情况下,破解失败。可得出,若要破解强密码,就要有强字典。
2、在使用hydra-gtk工具时,可看出,此工具用户体验好、方便快捷、功能强大,可则需使用。
3、在配置相关协议文件时,一个文件包含了很多的信息,应读懂相关参数的作用,根据所需进行相应配置,以免配置错误,影响结果。
六、分析讨论与思考题解答:
1、sshd_config中有哪些常用的指令?
1)AcceptEnv,指定客户端发送的哪些环境变量将会被传递到会话环境中。
2)AddressFamily,指定 sshd(8) 应当使用哪种地址族。
3)AllowGroups,这个指令后面跟着一串用空格分隔的组名列表(其中可以使用"*“和”?"通配符)。默认允许所有组登录。
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
难做到真正的技术提升。**
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-R0CDqvp0-1713268366623)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
3793
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
