写点什么

【网络安全】2022 年第一次靶场渗透实战学习

作者:H
  • 2022 年 1 月 17 日
  • 本文字数:779 字

    阅读完需:约 3 分钟

【网络安全】2022年第一次靶场渗透实战学习

一、介绍

渗透测试是通过模拟黑客或者骇客攻击,以评估计算机系统或者网络环境安全性的技术;主要的目的是进行安全性的评估,而不是摧毁或者破坏目标系统。

渗透测试所需要的基础技能必须有网络基础、编程基础、数据库基础、操作系统等基本技能。学习的话可以从 html、css、js、编程语言、协议包分析、网络互联原理、数据库语法等进入,学习了这些基础技能之后,就可以进行渗透测试的深入学习了,如 web 方面的学习 OWASP TOP 10 漏洞挖掘、主机系统服务漏洞检测、App 漏洞检测、内网渗透等方面。    

本次学习的是基于 3 个操作系统的靶场(含镜像),如何从只有一个 IP 到最终拿下机器 root 权限的全流程。不止讲解怎么做,并且讲解为什么这样做,学习别的地方学不到的思路。通过三天的强化学习,把平时学习的技术工具串联起来,最终达到提升渗透能力的目的。



二、学习目的

  1. 许多人学了很多漏洞的原理和工具却苦于找不到练习环境,练习是为了巩固自己所学的技术更加的深刻。

  2. 帮助不清楚在渗透流程中面对一个场景应该有哪些思路的人,讲解清晰思路

  3. 为从未完整地实践过渗透测试的全流程的人,进行一次实战全过程



三、学习内容

第一天

  1. 扫描局域网内的 C 段主机

  2. 扫描端口获得运行的服务

  3. 扫描目录获得关键信息

  4. 本地文件包含漏洞 LF

  5. fuzz 获得正确的参数

  6. wordpress 漏洞利用

  7. msfvenom 生成反弹 shell

  8. Ubuntu 内核漏洞提权

第二天

  1. Base64、MD5 解码

  2. CMS 识别和漏洞搜索

  3. 邮件信息泄露

  4. wireshark 抓包数据分析

  5. 证书解密 HTTPS 流量

  6. msf 生成 payload 及监听

  7. Linux 历史命令泄露

  8. 图片隐写提取文字

第三天

  1. SQL 注入获得管理员密码

  2. 本地文件包含漏洞

  3. fuzz 获得正确参数

  4. fuzz 爆破 web 密码

  5. knockd 端口敲门服务

  6. Hydra 暴破 SSH 密码

  7. 隐藏文件、历史命令

  8. /etc/passwd 添加用户提权



四、最后

这次学习有一个在线的学习机会,具体时间是【2022/1/18 至 2022/1/20 每晚八点开始】累计三天的时间,需要参加本次学习的可以点击【靶场渗透实战学习】或私信私信“靶场渗透”    



用户头像

H

关注

还未添加个人签名 2021.08.04 加入

还未添加个人简介

评论

发布
暂无评论
【网络安全】2022年第一次靶场渗透实战学习