总结

第一周总结

目录

所学与所做

  • 安装环境与工具
  • 学习并使用一些漏洞
  • 学习信息搜集
  • Google语法与几个搜索引擎,并使用弱口令爆破
  • 讲了一些大型漏扫
  • 计算机基础与arp

所遇到的问题

  • 使用连接工具MobaXterm,发现无法连接kali,发现是kali没有开启ssh服务下面就是我的解决方案
  • 使用hexo去搭建个人博客
  • 使用nessue所遇到的问题

正文

所学与所做

  1. 安装环境与工具
  • 首先是安装虚拟机,把kali,windows,xp都装上,为以后做实验做好准备工作。
  • 虚拟机装好,后面就是装环境了,因为后面需要用到burp和学习python,所以提前做好准备,安装python,和jdk环境。
  • 璐哥又给推荐了一些很好用的工具,还有火狐的插件,最后让我们学习markdown的文档。
  • markdown的学习历程,最开始不是很会使用,但是看着文档介绍,一边写一边看,慢慢掌握要领,但是最开始不会上传图片,然后发现可以用qq空间地址,但是需要下一个插件markdown pdf,用的vc去写markdown。
  1. 学习并使用一些漏洞
  • 主要所学的漏洞为ms08-067,ms17-010,ms10-046
  • 漏洞攻击方式基本是差不多的
    • 首先使用漏洞前,先看一下主要能够攻击的版本
      • 我使用ms08-067、ms10-046时用的靶机为xp
      • 对ms17-010所使用的为Windows 7
    • 开始使用search搜寻一下漏洞。
    • 然后使用use用一个模块去攻击。
    • 在show option查看一下。
    • 在加载一个攻击载荷
    • 然后进行一些配置。
    • 最后在使用run/expliot进行攻击。
    • 攻击完之后,其实后面的后渗透利用部分是比较重要,比如能够截图,开启摄像头,进行键盘监听等。
  1. 学习信息搜集
  • 信息搜集主要分为横向信息搜集与纵向信息搜集
  • 横向信息搜集主要包括:
    • whois
    • 子域名
    • 社工信息收集
    • 旁站、C段信息
    • ip信息收集
  • 纵向信息收集主要包括:
    • 端口扫描
    • 网站架构探测
    • 敏感文件、目录
  1. Google语法与几个搜索引擎,并使用弱口令爆破
  • Google hacking语法
  • 一些搜索引擎
    • ZoomEy:https://www.zoomeye.org/
    • FoFa:https://fofa.so/
    • Shodan:https://www.shodan.io/
  • 使用Google语法搜索一些登陆平台,然后使用弱口令。
  1. 讲了一些大型漏扫
    • nessus
    • awvs
    • openvas
  2. 计算机基础与apr
    • 学习了一些计算机的基础
    • 进行apr断网攻击实验
    • 进行arp欺骗实验
    • 综合应用-HTTP账号密码获取
      • 开始欺骗
        • 总结_第1张图片
      • 启动:ettercap -Tq -i eth0
        • 总结_第2张图片
      • 在window7 中在一个登陆框中输入信息
        • 总结_第3张图片
      • 在kali可以得到windows 7 中所输入
        • 总结_第4张图片
    • DNS欺骗
      • 首先打开ettercap的DNS文件进行编辑,在kali linux2.0下的文件路径为/etc/ettercap/etter.dns
        • 总结_第5张图片
      • 编辑/var/www/html/index.html文件  改成你定义页面
        • 总结_第6张图片
      • 终端输入命令/etc/init.d/apache2 start  来启动apache2 服务器 (把本机作为一个服务器)
      • 输入命令ettercap -G来进入ettercap的图形界面、
        • 总结_第7张图片
      • 选择网卡Unfied sniffing---配置
        • 总结_第8张图片
        • 总结_第9张图片
      • 扫描网关下的所有在线的计算机主机,来到hosts选项下的
        scan for hosts
        • 总结_第10张图片
      • 再单开hosts list
        • 总结_第11张图片
      • 在列表里选择网关进行添加,我这里的网关是192.168.226.2。 点击 Add to target 1
        • 总结_第12张图片
      • 然后选择目标的IP地址
        • 总结_第13张图片
      • 配置好后在继续点击mitm>arp poisoning
        • 总结_第14张图片
      • 选择第一个勾上,确定
        • 总结_第15张图片
      • 配置插件plugins>mangge the plugins
        • 总结_第16张图片
      • 我们要进行的是DNS欺骗双击dns_spoof 可以看见下边的提示
        • 总结_第17张图片
      • 最后点击strat>start sniffing开始DNS欺骗
        • 总结_第18张图片
      • 在目标机器中,访问相关网址,发现欺骗成功
        • 总结_第19张图片

所遇到的问题

  1. 使用连接工具MobaXterm,发现无法连接kali,发现是kali没有开启ssh服务下面就是我的解决方案
    • 如何配置kali ssh服务
      1. 打开etc/ssh/sshd_config
      2. 在文件下找到并修改
        • PermitRootLogin yes
        • PasswordAuthentication yes
      3. 重启ssh服务
        • service ssh resart
      4. 将ssh加入到开机自启
        • updata-rc.d ssh enable
  2. 使用hexo去搭建个人博客
    1. 注册
      • 首先需要注册一个github账户,注意username,这会影响到你的域名,你的域名将会是 username.github.io.注册过程会需要你验证邮箱.
    2. 创建仓库
      • 然后需要创建一个仓库(repository) 来存储我们的网站,点击首页任意位置出现的 New repository按钮创建仓库,Respository name中的username.github.io 的username 一定与前面的Owner 一致,因为username下面会用到.
    3. 安装板块
      • 安装git
        • 去网站上面下载安装包,直接安装
      • 安装node.js
        • 与上面一样
      • 安装hexo
        • 需要安装上面两个后才能在安装hexo
        • 直接在cmd使用npm install hexo-cli -g
          就能完成安装
    4. 编写,发布
      • 创建博客
        创建一个自己的名字,使用hexo init xxx.github.io
        ,执行成功,会生成一个xxx.github.io的文件.
      • 更改配置
        • 主题安装
          • 先cd到xxx.github.io
          • 然后git clone https://github.com/iissnan/hexo-theme-next themes/next
            这是一个极简的主题
        • 基础配置
          • 打开文件位置xxx.github.io/_config.yml修改几个键值对,下面把几个必须设置的列出来按需求修改,记得保存, 还有注意配置的键值之间一定要有空格。
          • title: xxx //你博客的名字
          • author: xxx //你的名字
          • language: zh-Hans //语言 中文
          • theme: next //刚刚安装的主题名称
          • deploy:
            type: git //使用Git 发布
            repo: https://github.com/xxx/xxx.github.io.git // 刚创建的Github仓库,记得在地址后面加上.git
      • 写文章
        • 所有基础框架都已经创建完成,接下来可以开始写你的第一篇博客了,在xxx.github.io/source/_posts下创建你的第一个博客吧,例如,创建一个名为FirstNight.md的文件,用Markdown大肆发挥吧,注意保存。
      • 测试
        • 使用hexo s
          • 测试服务启动,你可以在浏览器中输入https://localhost:4000 访问了
      • 发布
        • 但是发布之前需要一个你的名字和邮箱
        • 所以输入两个命令
          • git config --global user.name "这里面填你的名字如 lanch"
          • git config --global user.email "注册git的邮箱如 [email protected]"
        • 然后使用hexo clean && hexo g && hexo d
          • 如果这是你的第一次,终端会让你输入Github 的邮箱和密码,正确输入后,骚等片刻,就会把你的博客上传至Github 了。以后在每次把博客写完后,执行一下这个命令就可以直接发布了
      • 访问
        • 你的博客已经完成了,在浏览器中输入 http://xxx.github.io 就能够访问了。
        • 我建好的博客
        • 总结_第20张图片
  3. 使用nessue所遇到的问题
    • 我在装Nessus时遇到问题,因为主机获取不到地址名,但是经过一番尝试后,还是不行,更改配置文件添加ip一系列操作都没用。
    • 也重启重装过也没用,经过一番思考,查看说明,发现好像是连接不到网络,所以获取不到ip,我看了下连接方式是桥接方式,所以想是不是连接方式的问题,所以我把连接方式改为了NAT连接,果然是这个问题,成功的获取到了ip

总结

通过这一周的学习与实操,因为有些知识以前学过,但是已经慢慢消失在脑海中,所以我相当于是重新捡起以前的知识,然后一点一点回顾,一点一点去巩固。经过这一周,我学到了对自己所学体系的整理与记录,比如把所有的工具都整合在一起,分门别列,这样对以后的渗透测试会有所帮助。而且还学会了写日报来整理今天所学,在以前不是很喜欢写这些东西,但是发现好记性不如烂笔头。所以现在也很喜欢去写日报。但是这段时间感觉自己还没有沉下来,所以我想我想通过以后的日子能够沉下来,能够努力学习。最后希望能够与诸君共逸。

你可能感兴趣的:(总结)