日报
2020.01.14
小雨
上午
-
web安全
-
典型的web架构
终端<->应用程序(web服务器)<->存储器(数据库服务器)
web框架解读 -
HTTP协议基础
HTTP协议介绍:连接、方法(uri url)
-
HTTP请求报文
httponly -
HTTP响应报文
-
状态码
-
HTTP中get和post主要的区别
-
抓包
代理服务器
安装BP
安装教程:https://blog.csdn.net/LUOBIKUN/article/details/87457545
下午
-
安装phpstudy
-
phpstudy后台漏洞复现
打开burp和phpstudy
设置火狐浏览器的代理,然后输入12.0.0.1,抓包
发送到Repeater模块对报文进行修改
打开Decoder模块,输入要执行的命令,并输出为Base64编码,复制输出。
添加Accept-Charset命令,并把刚刚复制的编码赋值给它,注意Accept-Encoding:后面的空格要去掉
命令执行成功
- web漏洞测试工具
antsword
behinder
遇到的问题
-
burp之前安装过,不过打开不了,猜测应该是JDK出现了问题,因为系统之前炸过一次,重新安装一遍就行能打开了。不过之后点那个run没有反应,气得我重启了下电脑,一下就好起来了。
-
装好bp之后抓包,发现乱码问题,在网上搜了解决方法。
-
做phpstudy漏洞复现时,用浏览器打开127.0.0.1,抓的包发现是www.baidu.com的包,问了璐哥之后,把不代理信息列表删除就可以了。还有不行的话就直接输自己主机的ip。