CTf-Day2
名词解释:
域名:域名是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称
木马:木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码
社工:一种人为心理学的攻击手段,大概主旨含义你可以理解成所有的防火墙或者权限,再安全也只是相对的,因为操作他的是人,所以只要对人身进行了渗透攻击,那所有的信息会被你暴露无遗。
后门:保持对目标主机长期控制
poc:意思是为观点提供证据
exp:Exploit 的英文意思就是利用,它在黑客眼里就是漏洞利用
MD5加密
中文名为消息摘要算法,为计算机安全领域广泛使用的一种散列函数,目前不可逆解。
特点:
压缩性:任意长度的数据,算出的MD5值都是固定长度。
容易计算:从原数据算出MD5很容易
抗修改性:对原数据进行任何改动,哪怕只修改一个字节,得到的MD5值都很大区别
强抗碰撞:已知原始数据和MD5值,想找到一个具有相同的MD5值的数据(即伪造数据)是非常困难难的
CTf解题:
默认长度16和32位 MD5只可以包含abcdef和数字0~9(其他符号直接去掉)
撞密思路:
字典撞密:字典加密 MD5值比较
存储撞密:数据库
常用DOS命令
统配符:
号,代替0个或多个字符(可用于查找以某个字符开头 m)
?号,代替一个字符(love?.doc)
查看命令:
cd 进入某个路径
dir 显示目录下的目录和文件
more 查看全部内容
Type 选择性查看内容
操作命令:
Md 创建文件夹
Rd 删除文件夹
Copy 复制文件
Del 删除文件
Ren 重命名文件
/? 帮助
信息收集
站点链接
暴力破解(随机输,看运气 工具:御剑 )
Whois & 备案(工具:https://ipchaxun.com/)
旁站C段 & 子域名 (旁站是指在目标服务器上的不同网站 C段是指与目标服务器同网段的服务器 工具:zoomeye 使用ping获取网站ip)
搜索引擎(百度引擎)
搜索引擎高级语法:
intitle:intitle:baidu.com 标题中含有
intext:intext:baidu.com 文本中含有
inurl:inurl:baidu.com URL中含有
site:insite:baidu.com 站点
以上可以混用
站内爬虫(深度爬取url)
Nmap初始
弱口令
密码生成工具
https://www.hacked.com.cn/pass.html
爆破工具(先装java):
Burpsuite
Sniper(狙击手模式)
一个值赋给变量一次
Battering ram(攻城锤模式)
多个变量使用同一个值
Pitchfork(草叉模式)
交叉
Cluster bomb(集束炸弹模式)
java):
Burpsuite
Sniper(狙击手模式)
一个值赋给变量一次
Battering ram(攻城锤模式)
多个变量使用同一个值
Pitchfork(草叉模式)
交叉
Cluster bomb(集束炸弹模式)
混合