XDSec—03搭建安全扩展
一、杂项知识
1.1、权限控制
- 一般情况下,网站后台会对一些目录取消执行权限,比如存放图片的目录会取消执行的权限,这样我们可以防止一些文件上传漏洞
- 绕过方法:可以将我们上传的文件放到其他目录,例如根目录下
1.2、常见问题
- 要熟悉各类脚本语言的运行环境,如PHP一般是apache
- 在网站后台寻找敏感文件,如数据库配置文件,备份文件等
- IP访问和域名访问的区别
- IP访问会直接访问服务器WWW根目录
- 域名访问只会访问到根下的某个站点目录
- 脚本后缀名和对应解析
二、环境搭建
2.1、基于Docker的Vulhub搭建
-
根据Docker的官方文档和菜鸟教程,在自己对应的linux系统上先下载Docker
-
Docker验证,命令行输入:
sudo docker run hello-world // 若出现Hello from Docker!信息则配置成功
-
下载docker-compose工具,这个是docker中定义和运行多容器的工具,必须下载,可以使用python的pip
pip install docker-compose
-
dokcer-compose验证
docker-compose --version
-
linux命令行直接从github拉取Vulhub仓库
git clone https://github.com/vulhub/vulhub.git
-
vulhub用对应的漏洞环境文档,并且由详细的教程,这里就不再赘述了,只记录一下常用命令
// cd进入某个漏洞的目录 dokcer-compose bulid // 建立环境 //或 docker-compose up -d // 建立环境并启动 docker-compose config // 查看配置信息 docker-compose down // 关闭当前环境
2.2、搭建asp脚本环境
- 微软系服务器系统,下载iis即可
2.3、搭建php环境
- phpstudy,集成式的php环境搭建