基础入门

Web 应用&架构搭建&漏洞&HTTP 数据包&代理服务器

网站搭建

网站搭建前置知识

• 域名

• 万网、阿里云购买

• 子域名
• dns
• http/https
• 证书

域名没有备案只能使用国外服务器

宝塔集成环境宝塔搭建网站教程php,怎么利用宝塔面板搭建网站详细教程

• 教程

WEB 应用环境架构类

#WEB 应用环境架构类理解不同 WEB 应用组成角色功能架构:开发语言，程序源码，中间件容器，数据库类型，服务器操作系统，第三方软件等开发语言：asp,php,aspx,jsp,java,python,ruby,go,html,javascript 等程序源码：根据开发语言分类；应用类型分类；开源 CMS 分类；开发框架分类等中间件容器：IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish 等数据库类型：Access,Mysql,Mssql,Oracle,db2,Sybase,Redis,MongoDB 等服务器操作系统：Windows 系列，Linux 系列，Mac 系列等第三方软件：phpmyadmin,vs-ftpd,VNC,ELK,Openssh 等

WEB 应用安全漏洞分类

#WEB 应用安全漏洞分类SQL 注入，文件安全，RCE 执行，XSS 跨站，CSRF/SSRF/CRLF，反序列化，逻辑越权，未授权访问，XXE/XML，弱口令安全等

大部分漏洞产生与程序源码

WEB 请求返回过程数据包参考：

#WEB 请求返回过程数据包参考：https://www.jianshu.com/p/558455228c43https://www.cnblogs.com/cherrycui/p/10815465.html请求数据包，请求方法，请求体，响应包，响应头，状态码，代理服务器等Request,Response,User-Agent,Cookie,Server,Content-Length 等

演示案例：

Ø 请求包-新闻回帖点赞-重放数据包

• 利用burp suite抓包，并通过不断的发送我们截取到的点赞请求数据包，来增加点赞数量

•

• 没变化重新刷新网站

• 微信点赞无法复现，原因是有身份限制

请求包-移动端&PC 访问-自定义 UA 头

• 手机和电脑打开网站，页面不一样

• 请求包

GET / HTTP/1.1
Host: app.yeshen.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 7.1.2; SM-G988N Build/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/92.0.4515.131 Mobile Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
X-Requested-With: com.android.browser
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: JSESSIONID=58503C408F501EE97290A3D2757EB3F7; Hm_lvt_a628a1aea6be17fcb1116c742c51e897=1698846264; sensorsdata2015jssdkcross=%7B%22distinct_id%22%3A%2218b8b20e2722b2-031dbb9f74b02e-5566000b-360000-18b8b20e2734ec%22%7D; sensorsdata_is_new_user=true; Hm_lpvt_a628a1aea6be17fcb1116c742c51e897=1698846605; 
SERVERID=79b70cf2501ba6cc5e66dca1cbeace22|1698846605|1698846260
Connection: close

•

• 请求包

GET /?src=so.com HTTP/1.1
Host: www.so.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: QiHooGUID=5A8EBA920A47D98E4F4FD137BADCEF03.1698846754481; _S=lfioih6a2tlbscoc4an9n7coi6; __guid=15484592.3695447483186300000.1698846754296.9116; count=1; so-like-red=2; webp=0; so_huid=115K4%2FS9RLWFumAJnFOX%2BDfd6Nhal1Y3%2B1Nci267jSpgc%3D; __huid=115K4%2FS9RLWFumAJnFOX%2BDfd6Nhal1Y3%2B1Nci267jSpgc%3D; gtHuid=1; _uc_silent=1
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1

•

• 修改ua，将从手机抓的的UA，覆盖到pc抓到的UA上

• 电脑端访问到手机端画面

• 127.0.0.1是监听的本地，模拟器不能用，因为模拟器相当于另外的设备，在同一局域网内，也可以用局域网IP监听自己的手机

返回包-网站文件目录扫描-返回状态码

• 状态码HTTP状态码大全
• 常见

数据包-WAF 文件目录扫描-代理服务器

• 查询IP网站https://www.ip138.com/
• 快代理网站https://www.kuaidaili.com/tps

• 通过浏览器更换我们买的代理，每次访问都会更换我们的ip

• 如果我们的IP被拉黑，可以通过这个不断更换ip，点赞投票也可以

• 也有相关技术可以知道是代理在访问

抓包_封包_协议_APP_小程序_PC应用_WEB应用

知识点

参考文章

1、抓包技术应用意义

• 在我们安全测试中，对方可能会提供相对应的ip 地址，域名等等，那么有的应用是不会给你的，当在你测试的时候是不知道对方的目标名字什么的，那么我们就可以通过抓取数据包来获得你想要的信息，或者与其相关的信息

2、抓包技术应用对象

• 那么抓包他主要是针对协议去抓取的，根据不同的协议配对不同的抓包工具，就好比我们的网站他可以用BURP抓包工具，那么我们的APP他就不行了我们的BURP就抓取不到，为什么，因为我们的APP他走的不是HTTP协议的，所有抓取不到。
• 不同对象采用不同抓包工具

3、抓包技术应用协议

• 抓包的协议呢，就是我们的APP他也可以是HTTP协议的走向，因为我们的HTML5就能做出APP，那么我们HTML5他的走向协议就是http协议，那个APP点开其实就是打开网站了，你留心可以发现，网站有一些网站和我们点开APP十分像，
• 有些软件不支持抓取某些协议

4、抓包技术应用支持

• 那么其实就是目标他支持哪些抓包工具，支持哪些协议

5、封包技术应用意义

• 封包他就能自定义我们的一个数据包，封包技术说简单也不简单，很多我们的外挂都用到封包技术，就相当于说你自定义一个数据包封装发送给服务器

参考点

#参考点： 

Fiddler： 

是一个 http 协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的 http 通讯，设置断点，查看所有的“进出”Fiddler 的数据（指 cookie,html,js,css 等文件）。 Fiddler 要比其他的网络调试器要更加简单，因为它不仅仅暴露 http 通讯还提供了一个用户友好的格式。 

Charles： 

是一个 HTTP 代理服务器,HTTP 监视器,反转代理服务器，当浏览器连接 Charles 的代理访问互联网时，Charles 可以监控浏览器发送和接收的所有数据。它允许一个开发者查看所有连接互联网的 HTTP 通信，这些包括 request, response 和 HTTP headers （包含 cookies 与 caching 信息）。 

TCPDump：是可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、 网络或端口的过滤，并提供 and、or、not 等逻辑语句来帮助你去掉无用的信息。 

BurpSuite：是用于攻击 web 应用程序的集成平台，包含了许多工具。Burp Suite 为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的 HTTP 消息、持 久性、认证、代理、日志、警报。 

Wireshark：是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口，直接与网卡进行数据报文交换。科来网络分析系统：是一款由科来软件全自主研发，并拥有全部知识产品的网络分析产品。该系统具有行业领先的专家分析技术，通过捕获并分析网络中传输的底层数据包，对网络故障、网络安全 以及网络性能进行全面分析，从而快速排查网络中出现或潜在的故障、安全及性能问题。 

WPE&封包分析：是强大的网络封包编辑器，wpe 可以截取网络上的信息，修改封包数据，是外挂制作的常用工具。一般在安全测试中可用来调试数据通讯地址。

演示案例

WEB 应用站点操作数据抓包-浏览器审查查看元素网络监听

• f12进入，在抓取的数据包中可以看到请求头和响应头

 APP&小程序&PC 抓包 HTTP/S 数据-Charles&Fiddler&Burpsuite

•  软件工具环境和证书

#环境配置： 

1、安卓模拟器安装搭建 

逍遥，雷电，夜神等自行百度下载安装 

2、工具相关证书安装指南 

Charles 

https://blog.csdn.net/weixin_45459427/article/details/108393878 

Fidder 

https://blog.csdn.net/weixin_45043349/article/details/120088449 

BurpSuite 

https://blog.csdn.net/qq_36658099/article/details/81487491

• Charles安装使用教程建议安装，并使用

• 触发显示高亮

• 模拟器浏览器一直报证书安全问题怎么解决https://blog.csdn.net/weixin
• 如何解决Fiddler抓手机app数据包时候遇到的证书问题https://devpress.csdn.net/chongqing
• BURPSUITE可以点对点的接受到数据包
• 不走web（HTTP/S）协议无法抓取
• 有些模拟器可能不支持抓包eg：雷电3

 程序进程&网络接口&其他协议抓包-WireShark&科来网络分析系统

• 科莱（什么协议都抓）

• 模拟器不用设置代理也能抓

• WireShark（什么协议都抓）

• 抓到tcp协议，数据通信地址，再通过端口扫描

 通讯类应用封包分析发送接收-WPE 四件套封包&科来网络分析系统

• 安装软件时退出关闭防火墙，不然有些文件会被自动删除
• 有些软件无法抓包可能是软件版本问题，下载新版尝试
• 封包监听工具2.3.exe可能出现无法抓包的问题，电脑重新启动即可
• 雷电模拟器+ProxyDroid+CCProxy+WPE

• 安装使用教程

1.封包(二)(雷电模拟器+ProxyDroid+CCProxy+WPE) 的使用_william~的博客-CSDN博客

• 注意雷电9因为anorid系统版本过高，无法执行代理机器人，建议官方下载雷电4

• 开启ProxyDroid后，IP及端口设置正确仍然无法联网，按下图操作

•

• wpe无法启动，重新下载新的安装包

思考

1、为什么要抓包？-抓包应用的资产信息进行安全测试

2、抓包对象有那些？-小程序,APP,桌面应用等

3、抓包协议区别工具？-有部分应用不走 HTTP/S，需要用到全局协议抓包

4、封包和抓包不同之处？-零散整体的区别，封包能精确到每个操作的数据包

30 余种加密编码进制&Web&数据库&系统&代码&参数值

需要掌握

1、看到代码知道是什么加密方式

2、加解密需要条件

3、清楚学习这节课在渗透测试中有什么用处含义

知识点

存储密码加密-Web&数据库&系统

传输数据编码-各类组合传输参数值

代码特性加密-JS&PHP&NET&JAVA

数据显示编码-字符串数据显示编码

本课意义

1.了解加密编码进制在安全测试中的存在

2.掌握常见的加密解密编码解码进制互转的操作

3.了解常见的加密解密编码解密进制互转的影响

旨在解决类似疑问，提供思路

旨在解决类似疑问，提供思路： 

你是否碰到不知道的加密方式？ 

你是否碰到无法找到的解密平台？ 

你是否碰到不知道如何解密的字符串？ 

你是否准备参加 CTF 比赛补充此类知识点？ 

详细点

密码存储加密：

MD5 SHA1 NTLM AES DES RC4 

MD5 值是 32 或 16 位位由数字"0-9"和字母"a-f"所组成的字符串 

SHA1 这种加密的密文特征跟 MD5 差不多，只不过位数是 40 

NTLM 这种加密是 Windows 的哈希密码，标准通讯安全协议 

AES,DES,RC4 这些都是非对称性加密算法，引入密钥，密文特征与 Base64 类似 

应用场景：各类应用密文，自定义算法，代码分析，CTF 安全比赛等 

• MD5

• MD5加解密原理和方法怎么解密MD5，常见的MD5解密方法，一看就会_ITduo的博客-CSDN博客
• discuz加密方式和原理​​​​​d​​​​​​iscuz密码加密的方式-CSDN博客

传输数据编码：

BASE64 值是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,结尾通常有符号= 

URL 编码是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,通常以%数字字母间隔 

HEX 编码是计算机中数据的一种表示方法,将数据进行十六进制转换,它由 0-9,A-F,组成 

ASCII 编码是将 128 个字符进行进制数来表示,常见 ASCII 码表大小规则：0~9<A~Z<a~z

• URL 编码

•

JS 前端代码加密：

JS 颜文字 jother JSFUCK 

颜文字特征：一堆颜文字构成的 js 代码，在 F12 中可直接解密执行 

jother 特征：只用! + ( ) [ ] { }这八个字符就能完成对任意字符串的编码。也可在 F12 中解密执行 

JSFUCK 特征：与 jother 很像，只是少了{ } 

后端代码加密：

PHP .NET JAVAPHP：乱码，头部有信息 

.NET：DLL 封装代码文件 

JAVA：JAR&CLASS 文件 

举例：Zend ILSpy IDEA 

应用场景：版权代码加密，开发特性，CTF 比赛等

数据库密文加密：

MYSQL MSSQL 等

数据显示编码：

UTF-8 GBK2312 等ie浏览器右键选择编码，可以更换编码格式

识别算法编码类型：

1、看密文位数

2、看密文的特征（数字，字母，大小写，符号等）

3、看当前密文存在的地方（Web，数据库，操作系统等应用）

演示案例：

Ø Web-ZZCMS-密文-MD5

• 通过上面方式判断出为MD5加密

• MD5在线平台解密

Ø Web-Discuz-密文-MD5&Salt

• discuz存储表位置Discuz密码 加密方式_discuz 密码加密-CSDN博客

• 也可通过MD5在线平台解密

• MD5支持多种解密，是一个综合加解密平台

Ø 系统-Windows-密文-NTLM&HASH

• mimikatz

能够直接读取WindowsXP-2012等操作系统的明文密码

• MD5加密，与上面对比

Ø 综合-参数-密文传输-AES&BASE64

BASE64 值是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,结尾通常有符号= 
AES,DES,RC4 这些都是非对称性加密算法，引入密钥，密文特征与 Base64 类似 

• aes加解密平台在线AES加密解密、AES在线加密解密、AES encryption and decryption--查错网 (chacuo.net)
• 解码必须拿到密码和偏移量，不然无法解密，其它参数可以慢慢试

• 根具源代码得到解密需要的方式，这里经过两次base64加密，所以需要先得到base64解密后的密文，再用ase64解密

• AES加密的方式不局限于web，其它如Windows密文也可以使用

Ø 代码-解密-解密反编译-Zend&Dll&Jar

• PHP解码平台php免费在线解密-PHP在线解密 (dephp.net)
• 加密的源码

• 平台解密

• 解密后

• 后期代码审计会遇见加密代码、ctf夺旗比赛、waf（Web应用防护系统）加密后面代码

Ø CTF 赛题-buuoj-single dog-JS 颜文字

Ø CTF 赛题-xuenixiang-Jsfuck-JSFUCK

资产架构_端口_应用_CDN_WAF_站库分离_负载均衡

资产

用的越多，安全问题就越多，这些都可以成为我们侵入网站突破点

WEB 单个源码指向安全

• 只有自己一个程序

WEB 多个目录源码安全

• 有些网站目录下，还存在其它程序，任意一个程序，出现漏洞我们都可以利用

WEB 多个端口源码安全

• 两个端口如果没有设置（http 协议, 就使用 80 端口、https 协议, 就使用 443 端口）

服务器架设多个站点安全

架设第三方插件接口安全

• 站长需要网站有更多的功能就会安装一些第三方插件和应用，当插件或应用出现问题也很会对网站造成危害

服务器架设多个应用安全

番外

基于域名解析安全

• 知道域名购买平台，可以通过爆破平台，得到我们购买域名平台的账号密码，从而修改域名，让域名解析到我们想要的ip

基于服务器本身安全

基于服务商信息安全

基于管理个人的安全

• 人身攻击

发送木马给你，你点击后，攻击者就可以得到你电脑上的信息

阻碍

阻碍-站库分离

什么是站库分离：站库分离就是网站和数据库不在同一个服务器上，数据库用的是内网网络；这样的操作模式更快，更安全；很多大型的企业都采用站库分离的模式。

• 数据库源码和数据库不在同一台服务器

阻碍-CDN 加速服务

是将源站内容分发至最接近用户的节点，使用户可就近取得所需内容，提高用户访问的响应速度和成功率。解决因分布、带宽、服务器性能带来的访问延迟问题，适用于站点加速、点播、直播等场景。

• 解决访问速度的一个服务，访问我们就近cdn节点的缓存
• 我们通过cdn节点拿到的是缓存数据，并不能对服务器的真实数据造成影响

阻碍-负载均衡服务

• 存在多台服务器，一台坏了后，另外一台可以接替着工作（淘宝、京东）
• 准备了多台服务器，其中我们可能会分配到某一个，拿到权限后，不一定可以实现我们的目的

阻碍-WAF 应用防火墙

• 防止漏洞攻击，安装后有些漏洞攻击，就会被阻止

阻碍-主机防护防火墙

• 杀毒软件也是主机防护的一种，杀毒软件会检测文件是否是木马还是病毒

不是所有都能绕过

补充

nginx反向代理

反向代理是一种代理服务器的配置模式，它代表服务器向客户端提供服务。客户端发送请求到反向代理服务器，然后反向代理服务器将请求转发到后端的真实服务器上，并将响应返回给客户端。简单理解为用户直接访问反向代理服务器就可以获得目标服务器的资源。这一过程叫反向代理