Web渗透_11 补充结语 必看！！

业务逻辑漏洞

在web程序编写时，可能会留下各种各样的漏洞。最常见的就是利用Burpsuit，通过对包的拦截，对内容的修改，来利用了漏洞。

典型的例子就是电商系统。购买商品时，如果在请求包里，将购买数量做负数上传，而web应用对此没有任何过滤，那么将会出现自己收了货款的情况。

修改密码时，如果请求包里出现了用户ID相关参数，那我们可以修改这个ID，让自己的操作作用到其他用户身上。

如果验证码也存在于包中，根据情况判断其是否会动态刷新，如果不会动态刷新，就可以利用Intruder模块将密码设为变量，自己的密码字典，进行爆破。

Burpsuit是一个强大的工具。

Python

python时非常好用的一个高级语言。在漏洞利用时，许多craker会编写Python程序，我们要会写也要能看懂python代码。

集中了解 Request 包的各种函数及用法。

MSF(Metasploit)

最强的漏洞渗透攻击平台。Kali中自带，有很多攻击模块，扫描模块，爆破模块，一个经典的攻击就是利用永恒之蓝获取其他电脑的shell。

msfconsole

使用方法就是进入相关的攻击模块文件目录，show options显示需要设置的配置，然后设置相关的配置，exploit攻击即可。

提权

常发生在已经拿到了webshell的情况下，如果进入后发现权限不足。利用补丁检测的shell命令，来探测shell命令里的补丁列表有没有打，这些都是与提权相关的漏洞的补丁。

之后利用补丁相关的提权程序，类似pr.exe。进行提权。

如果网站不允许上传文件，那么可以利用wget下载远端的提权程序，来绕过不允许上传的限制。

反弹shell，让受害者拿着shell去找攻击者.攻击者监听对应端口，可获得受害者shell权限。

反序列化漏洞

序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。

而一些操作可以使序列化过程中造成代码执行。具体要看相关语言对应序列化和反序列化的函数，其应用时存在的漏洞。

PHP ： serialize() 与 unserialize()

Java: Serializable()

精心整理的安全资讯门户网站

安全脉搏：分享技术，悦享品质 https://www.secpulse.com

FreeBuf: 网络安全行业门户 https://m.freebuf.com

TOOLS：低调求发展 潜心习安全 https://www.t00ls.net

看雪学院： https://www.pediy.com

吾爱破解： https://www.52pojie.cn

安全客：安全咨询平台 https://www.anquanke.com

I春秋：专注网络安全 https://www.ichunqiu.com

PentesterLab：让学习WEB Hacking更简单 https://www.PentesterLab.com

腾讯安全玄武实验室： https://xlab.tencent.com/cn/

国内安全新闻： http://www.91ri.org/category/hacknews/china-news 这个最近不可以使用了。不确定未来是否可以使用

XCTF攻防世界做题平台：https://adworld.xctf.org.cn/

结语

从20年6月份找到千峰的2019网安教程利用空闲时间跟着学习，期间一年多。

开始讲一些虚拟机的知识，之后讲了一些windows服务器的知识，可以用来做DHCP，DNS，IIS网站服务器。kali。

之后就是网络通信方面的一些知识，交换机，路由器，三层交换机，VPN，防火墙，NAT。组建真实的网络。

后面讲了linux的一些命令，centos,nginx。

又讲了HTML和PHP以及Python。

在这之后玩了会CTF，就是网络安全的比赛。在xctf刷了刷题，misc和web方向，都是刷完了新手篇，高手篇写了六七道。参加了津门杯，写出一道misc的题，真是尴尬。安装了一些软件，burpsuit hackbar等，这些在后面的web渗透课程中竟然也用到了。

然后跟着其他教程利用PHP从写架构开始写了一个个人博客web应用。耗时一个多月，放到阿里云上了。因为了解到后面的web渗透主要讲的就是PHP站点。学到不少知识。

现在放假了，把web渗透最后的课程也都学了。感觉就是教的比较简单,没有那么好去利用主要是。比如SQLmap去扫我的个人博客应用，阿里云应该检测到了这种攻击行为，什么结果都没显示，把咱的IP就屏蔽了一天。一天都不能访问那个站点。

但对整个web渗透有了基本的认识，老师很多讲的东西也都是别人写的一些博文。这些博文分散在各个网络安全门户。所以，要常常上这些网站看看。

学到现在，感觉安全方面和软件测试这个东西非常的像。发掘漏洞不就是测试的过程么。也大致了解了黑客可以做什么事情。期间，最大的快乐不是学到了那么多攻击方法，因为像arp DNS 欺骗这些比较有用的攻击，我只对自己的手机电脑试了，没有攻击他人。编写那个web应用真的是最开心的一段时光，因为那是创造，而不是攻击。

很多人学习“网络安全“，并不是为了所谓的安全，而是里面蕴含着的互联网时代的一些 现代功法，一些攻击的手段。但现在互联网有严格的法律保护，任何攻击性质的操作，都是违法犯罪的行为。也就是学习者不能去攻击。网络不是法外之地，你的任何操作都会留下痕迹。

所以如果后来的小同学们，如果看到这篇博文，想一下自己真的需要什么。创造或是保护或是攻击。再决定是不是要走下去。是做hacker(极客)还是做craker(黑客攻击者)。

我的安全之路就此画上句号，路途虽近，风光亦好！

玩AI去也。

2021.10.23再次补充

这两天出于兴趣看了看MIT的网络安全课。只看了课程开始的Perface。讲课的教师有两个，有一个是微软的客座教授。

因为没有一些比较好的教材，老师会给出要求阅读的论文。

他们做实验，每个实验要求的语言都不同。

有攻击方法，例如，关于web应用会讲如何利用缓冲区溢出控制整个网站，通过精心设计的网络包。编写在计算机上运行的蠕虫病毒。

有保护方法，保护web服务器，于代码中寻找漏洞。

需要精通各种编程语言。C, 汇编，Python Javascript，等等。因为现实世界就是这么复杂。

我感到深深的差距。