【网络安全】2022年第一次靶场渗透实战学习
2022-01-17 本文已影响0人
H_00c8
up-5fb6447799bccb4c4f00e22efd9b812b1de.jpg
一、介绍
渗透测试是通过模拟黑客或者骇客攻击,以评估计算机系统或者网络环境安全性的技术;主要的目的是进行安全性的评估,而不是摧毁或者破坏目标系统。
渗透测试所需要的基础技能必须有网络基础、编程基础、数据库基础、操作系统等基本技能。学习的话可以从html、css、js、编程语言、协议包分析、网络互联原理、数据库语法等进入,学习了这些基础技能之后,就可以进行渗透测试的深入学习了,如web方面的学习OWASP TOP 10漏洞挖掘、主机系统服务漏洞检测、App漏洞检测、内网渗透等方面。
本次学习的是基于3个操作系统的靶场(含镜像),如何从只有一个IP到最终拿下机器root权限的全流程。不止讲解怎么做,并且讲解为什么这样做,学习别的地方学不到的思路。通过三天的强化学习,把平时学习的技术工具串联起来,最终达到提升渗透能力的目的。
在这里插入图片描述二、学习目的
- 许多人学了很多漏洞的原理和工具却苦于找不到练习环境,练习是为了巩固自己所学的技术更加的深刻。
- 帮助不清楚在渗透流程中面对一个场景应该有哪些思路的人,讲解清晰思路
-
为从未完整地实践过渗透测试的全流程的人,进行一次实战全过程
在这里插入图片描述
三、学习内容
第一天
- 扫描局域网内的C段主机
- 扫描端口获得运行的服务
- 扫描目录获得关键信息
- 本地文件包含漏洞LF
- fuzz获得正确的参数
- wordpress漏洞利用
- msfvenom生成反弹shell
- Ubuntu内核漏洞提权
第二天
- Base64、MD5解码
- CMS识别和漏洞搜索
- 邮件信息泄露
- wireshark抓包数据分析
- 证书解密HTTPS流量
- msf生成payload及监听
- Linux历史命令泄露
- 图片隐写提取文字
第三天
在这里插入图片描述
- SQL注入获得管理员密码
- 本地文件包含漏洞
- fuzz获得正确参数
- fuzz爆破web密码
- knockd端口敲门服务
- Hydra暴破SSH密码
- 隐藏文件、历史命令
- /etc/passwd添加用户提权
四、最后
详细学习的可以点击【靶场渗透实战学习】或私信私信“靶场渗透”
[图片上传失败...(image-935145-1642402423572)]