环境搭建与基本工具使用
工欲善其事,必先利其器。
在开始正式的学习之前,一些工具是必不可少的。这包括VM ware虚拟机,php study,Burp Suite,Wireshark,中国菜刀及其它。
vm虚拟机中安装kali Linux,并安装vm tools,以便后续的文件传输,中文设置,网上有很多相关的教程,在此不再赘述。
php study安装的前提条件是有python环境,在此建议python2和python3最好都安装一个版本,不同的软件对python版本的需求不同,提前准备,以便不时之需。
Burp Suite之前用过一些比较老的版本,例如1.7,这次换上了2.1版本的,还是觉得有一些不同,最起码界面好看了些,由于使用的是破解版,需要加载器,对Java的版本也有要求,之前用的jdk13现在倒不适合了,只好改用jdk u181,实属无奈之举,新的版本删除了旧版本的语句,加载的时候实在不行。还有汉化的包,由于对web方面的单词实在没什么接触,还是索性用了中文,看着舒服多了,最后用一个vb脚本来引导启动。
感谢对软件做出种种贡献的开发者们,可以让我们用到好用的软件。
最后的文件见下图
这是软件的开始界面,UI相较于之前有所改进。
关于Burp Suite(以后简称bp)的简单抓包使用,网上也有教程,很简单,这里稍微讲一下。
首先,你要通过某种方式,把网站的请求先经由本地,这种分手可以但不限于浏览器插件,例如Google chrome的
Proxy SwitchyOmega,火狐插件,以及bp插件,更改IE的代理设置为本地(127.0.0.1)等等。
之后就是在bp的代理(Proxy)选项卡这里看到你抓的包,至于之后是放包(Forward),还是废包(Drop),或者发送到其他模块,就是后话了。
HTTP/HTTPS协议介绍
HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。
HTTP协议就如同其他协议一样,例如IP/TCP协议,构成了网络的全部。
HTTP有很多的版本,现在常见的是1.1版本,至于更新的2.0版本,目前我还没见过(其实就没见过几个网站,笑~)。
HTTP的工作流程
有点复杂,不过多解释,以免出错。
B/S架构(Browser/Server):较新
C/S架构(Client/Server):较老
就这了,不是很了解,细谈又一大堆,具体Google。
下来算是重点了。
HTTP消息结构
首先是关于URL(uniform resource locator,统一资源定位系统)
格式如下
HTTP请求
有时候flag会在返回(Reponse)的信息中,这就要求我们可以正确的把他请求(Request)出来。
HTTP请求头字段
HTTP请求方法(区分大小写)
- OPTIONS
- HEAD
- GET
- POST
- PUT
- DELETE
- TRACE
- CONNECT
头部字段
- User-Agent :浏览器表明自己的身份(是哪种浏览器)。
- X-Forwarded-For :HTTP 请求端真实 IP。
- X-Client-IP :获取客户端真实IP。
- Accept-Language :浏览器申明自己接收的语言 。
- Cookie :
- Accept-Encoding :浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法(gzip,deflate)。
- Content-Type :WEB 服务器告诉浏览器自己响应的对象的类型。
- Referer :浏览器向 WEB 服务器表明自己是从哪个 网页/URL 获得/点击 当前请求中的网址/URL。(上一个网页)
这次总结差不多就到这里了,下一次又是一个星期过去了。
学习之路艰辛不易,希望自己能够坚持下去。
由于时间仓促,可能会有所纰漏,如发现后,请不吝赐教,感激不尽。
扫一扫
396
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
