第二周学习心得
1.使用burpsuite进行抓包
1.1前期准备工作
1.1.1在火狐浏览器中添加burp代理
1.打开火狐浏览器后,在扩展中选择foxproxy添加并安装
2.在foxproxy界面对所需要添加的代理进行配置**(代理ip和端口要与burpsuite中所填写的一致)**
1.1.2在火狐浏览器中添加CA证书
1.打开burpsuite,在Proxy一栏下选择options标签,点击import/export CA certificate 选项,下载CA证书并保存在本地**(保存时注意证书后缀必须为.der)**
2.打开火狐浏览器设置,找到证书选项后,选择上传并信任刚才所下载的CA证书,最后保存
1.2正式使用burpsuite进行抓包
1.2.1使用burpsuite内置浏览器进行抓包
1.首先选中Proxy一栏下的intercep,将intercep is off改为intercep is on,并点击下方的 Open browser按钮
2.在弹出的内置浏览器中输入想要访问的URL,就会看到burpsuite自动进行了抓包
3.接下来在Action选项中选择send to repeater,即可将抓取的包放入重放工具中进行改包和模拟请求
4.点击send后,即可在右侧的Reponse界面下的render选项看到改包后的反馈效果
1.2.2使用火狐浏览器的代理进行抓包
1.打开浏览器后进入百度主界面,在扩展中打开之前配置好的foxproxy代理
2.打开burpsuite后,在浏览器中输入想要访问的URL,burpsuite也会自动抓包,接下来的改包和重发操作与使用burpsuite内置浏览器相同
1.3客户端请求信息(“包”)
- 客户端发送一个HTTP请求到服务器的请求消息包括以下格式:请求行、请求头部、空行和请求数据四个部分组成,下图给出了请求报文的一般格式
-
在请求头中全部都是以键-值的形式成对出现
-
需要关注的几个常见请求头:
-
post:描述url地址中的主机(ip+端口)
-
User-Agent:客户端的信息描述
-
Content-Type:描述请求体的消息是什么格式,如果没有请求体,这个字段无意义
(get请求无请求体,post请求有请求体)
该字段常见的取值:
- application/X-www-form-urlencoded 表示数据格式和url地址中参数的格式一样
- application/json 表示请求体的数据是json格式
- multipart/form-date 一种特殊的请求体格式,一般为上传文件的格式
-
2.VMware及kali的安装
2.1kali系统简介
Kali Linux 是一个基于 Debian 的 Linux 发行版,旨在进行高级渗透测试和安全审计。Kali Linux 包含数百种工具,适用于各种信息安全任务,如渗透测试,安全研究,计算机取证和逆向工程。Kali Linux 由公司 Offensive Security 开发,资助和维护。Offensive [əˈfensɪv] 攻击性的; Offensive Security 进攻性安全。
Kali Linux 于 2013 年 3 月 13 日发布,Kali 的前身是基于 BackTrack Linux,自上而下的重建,完全符合 Debian 开发标准。
2.2kali系统的优势及特性
- 包括 900 多种渗透测试工具 ;
- 免费:完全免费且永远都是。你将永远不必支付 Kali Linux 的费用;
- 开源:所有进入 Kali Linux 的源代码都可供任何人使用;
- 广泛的无线设备支持:我们已经构建了 Kali Linux 以支持尽可能多的无线设备,允许它在各种硬件上正常运行,并使其与众多 USB 和其他无线设备兼容;
- 在安全的环境中开发: Kali Linux 团队由一小部分人组成,他们是唯一可信任的提交包并与存储库交互的人,所有这些都是使用多个安全协议完成的;
- GPG 签名包和存储库: Kali Linux 中的每个包都由构建和提交它的每个开发人员签名,并且存储库随后也会对包签名;
- ARMEL 和 ARMHF 支持: Kali Linux 可用于各种 ARM 设备。
2.3kali linux镜像系统的安装
1.首先进入Kali Linux官网下载X86_64bit的镜像系统
2.打开虚拟机选择“创建新的虚拟机”
3.选择自定义配置,并载入我们第一步下载好的Kali Linux镜像目录
4.选择操作系统为Linux后,进行处理器数量和内存大小等基本选项的设置
5.完成配置后打开虚拟机,选择Graphical install,图形化安装引导
6.接下来完成选择语言、地区、系统命名、用户命名、设置密码等操作
7.当进行到软件选择页面时,勾选全部软件,接下来等待系统将软件安装完成
8.接下来选择启动引导安装位置,即/dev/sda选项,等待系统重启后即可使用
51050062)]
6.接下来完成选择语言、地区、系统命名、用户命名、设置密码等操作
7.当进行到软件选择页面时,勾选全部软件,接下来等待系统将软件安装完成
8.接下来选择启动引导安装位置,即/dev/sda选项,等待系统重启后即可使用