作为小白如何学习Kali linux渗透测试技术
发布网友
发布时间:2022-03-23 20:20
共3个回答
懂视网
时间:2022-03-24 00:41
1、首先要知道Kali系统的基本使用方法。因为Kali系统里面会集成我们所需的一些工具。
Kali渗透测试系统,Kali Linux是专门用于渗透测试的Linux操作系统,它由BackTrack发展而来。Kali中集成了渗透测试所需的常用工具,是我们必须掌握的一项技能。
2、接下来需要学习sql注入相关的一些内容。
sql注入:当客户端提交的数据未作处理或转义直接带入数据库就造成了SQL注入,也就是用户提交了特定的字符导致SQL语句没有按照管理员设定的方式方法执行。
3、还有要学习xss跨站脚本攻击。
xss跨站脚本攻击危害:窃取用户cookie信息保存到远程服务器。
4、学习CSRF伪造用户请求。
CSRF(Cross-site request forgery,跨站请求伪造)也被称为one click attack(单键攻击)或者session riding,通常缩写为CSRF或者XSRF。
5、暴力破解常见服务,可以使用Hydra九头蛇,也可以使用美杜莎。
6、还要了解web网站里基于文件上传漏洞去如何获取webshell权限,在这里我们可以使用蚁剑加一句话木马去实现。
file upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都爆出过文件上传漏洞。
7、还有xxe漏洞任意提取,包括我们WiFi相关的一些安全。
8、掌握常用的漏洞扫描工具:Nessus、AppScan等工具。
9、还要了解linux下的渗透安全技术。
总结
渗透安全课程培训主要包括:
1、Kali系统的使用
2、sql注入
3、xss跨站脚本攻击
4、CSRF伪造用户请求攻击
5、暴力破解常见服务
6、基于文件上传漏洞获取webshell权限
7、xxe漏洞任意文件读取
8、无线安全
9、漏洞扫描分析软件
10、linux系统下的渗透安全技术
热心网友
时间:2022-03-23 21:49
首先你要明白你学KALI的目的是什么,其次你要了解什么是kali,其实你并不是想要学会kali你只是想当一个hacker
kali是什么:
只是一个集成了多种渗透工具的linux操作系统而已,抛开这些工具,他跟常规的linux没有太大区别。
你可能想学的是渗透技巧,相当一个黑客是吧?我建议你先从基础开始学起,比如漏洞是如何形成的,然后如何被利用,例:SQL注入漏洞。
如何成为一个黑客?:
-> 具有极高的兴趣以及能够持之以恒的心
-> 多结交良师益友很重要
->学习编程语言(python,php,html,JavaScript,java,c等,只有你会编程才能知道为什么会形成漏洞,才知道怎么利用漏洞)
->学习服务器运维(winservice和linux操作系统,域管理,权限管理等等等等不一一阐述)学习系统了解系统,因为你要了解一个站长是如何管理服务器的,服务器有哪些可以被你利用的地方,到时候用nmap扫描出来的结果你才能分析,才明白是什么意思
->英文好很重要,国外文献才能看得懂,英文好不好直接影响你能不能成为顶级黑阔
->多多实战演练,从基础的注入漏洞,XSS,弱口令,抓包等开始你的渗透生涯,等你拿到webshell的时候,你会有成就感 并且想学习的*越发强烈,等你拿到cmdshell的时候,你已经具备成为一个脚本小子的资格了,再往下走就要看你自己的天赋了,毕竟我的水平也仅限于此。
记住哦,一个hacker是要摆脱工具的,只会用工具永远只是脚本小子。你要自己了解原理,然后自己写工具出来。kali只是一个系统级渗透工具箱,只要你学会了渗透,有没有kali一样牛*
此段摘自知乎Toom
热心网友
时间:2022-03-23 23:07
这个要根据个人的实际情况来决定的,比如你先要去了解什么是渗透测试:
1、渗透测试属于信息安全行业,准确的说是网络计算机/IT行业
2、现在你知道了它的行业属性,那么你是否具备一些这个行业的知识呢?
3、具备的话学习起来比较简单,直接去学习渗透测试实战就行,不具备接着往下看
4、现在知道它行业属性,你大概就能清楚需要些什么样的基础知识了;下面是我从非计算机网络相关专业的同学想要学习渗透测试必须掌握的知识。
5、前期入门大概需要掌握或者说了解以下知识点:
1)了解基本的网络知识,例如什么是IP地址(63.62.61.123)去掉点是扣扣学习群,IP地址的基本概念、IP段划分、什么是A段、B段、C段等2)广域网、局域网、相关概念和IP地址划分范围。
3)端口的基本概念?端口的分类?
4)域名的基本概念、什么是URL、了解TCP/IP协议、
5)了解开放式通信系统互联参考模型(OSI)
6)了解http(超文本传输协议)协议概念、工作原理
7)了解WEB的静态页面和WEB动态页面,B/S和C/S结构
8)了解常见的服务器、例如、Windows server2003、Linux、UNIX等
9)了解常见的数据库、MySQL、Mssql、、Access、Oracle、db2等
10)了解基本的网络架构、例如:Linux + Apache + MySQL + php
11)了解基本的Html语言,就是打开网页后,在查看源码里面的Html语言
12)了解一种基本的脚本语言、例如PHP或者asp,jsp,cgi等
然后你想学习入门,需要学习以下最基础的知识:
1、开始入门学习路线
1)深入学习一种数据库语言,建议从MySQL数据库或者SQL Server数据库、简单易学且学会了。
其他数据库都差不多会了。
2)开始学习网络安全漏洞知识、SQL注入、XSS跨站脚本漏洞、CSRF、解析漏洞、上传漏洞、命令执行、弱口令、万能密码、文件包含漏洞、本地溢出、远程溢出漏洞等等
)工具使用的学习、御剑、明小子、啊D、穿山甲(Pangolin)、Sqlmap、burpsuite抓包工具等等
2、Google hacker 语法学习
3、漏洞利用学习、SQL注入、XSS、上传、解析漏洞等
4、漏洞挖掘学习
5、想成为大牛的话、以上都是皮毛中的皮毛,但前提是以上的皮毛都是最基础的。
6、Linux系统命令学习、kali Linux 里面的工具学习、Metesploit学习
7、没事多逛逛安全论坛、看看技术大牛的文章、漏洞分析文章等
