1、虛擬機基礎
虛擬機(vitual Machine)指通過軟件模擬的具有硬件系統功能的、運行在一個實體機上的計算機軟件。通過虛擬化軟件,我們可以在一台真實電腦上同時開啟並運行多個虛擬機。
2、個人常用虛擬機軟件
- VMware workstation VMware公司的商業軟件產品之一
- VMware player VMware公司的免費軟件產品
- virtual box 開源、免費虛擬機軟件產品
3、虛擬機網絡三種模式
- bridged(橋接模式)
- NAT(網絡地址轉換模式)
- Host-Only(僅主機模式)
3.1 橋接模式
注:虛擬機和實體機在同一個網段,常用作配置服務器等給同一網段實體機分配資源
3.2 NAT--網絡地址轉換模式
注:虛擬機通過實體機來上網, 常用作地址資源緊張的情況
3.3 僅主機模式
注:虛擬機只能跟實體機通信,無法連接互聯網,常用作惡意代碼分析,不希望擴散到網絡的情況
4、虛擬機快照
虛擬機的快照功能允許我們對當前虛擬機所有的運行狀態(包括安裝的軟件、執行的程序)進行”定格“。虛擬機制作快照之后,我們可以根據需要恢復快照,從而回到制作快照的狀態。
5、網站搭建
網站由中間件、網站程序、數據庫等部分組成。中間件可以選擇Apache、Nginx、IIS等,網站程序有PHP、JSP、ASP等web語言編寫的,數據庫有MySQL等。我們可以獨立安裝每個組件,但是也有更加便捷的集成環境可供選擇。
集成環境就是把搭建網站所需的各種組件打包到了一起,通過安裝集成環境一個程序,從而自動完成了從中間件到腳本解釋器和數據庫的安裝。
常見的集成環境
- phpstudy
- XAMPP
- Wamp Server
6、HTTP代理原理
HTTP代理位於瀏覽器和web服務器之間,有了它之后,瀏覽器不是直接到Web服務器去取回網頁而是向HTTP代理發出請求,請求數據包會先發送到HTTP代理,由HTTP代理來取回瀏覽器所需要的信息並傳送給你的瀏覽器。
7、HTTP代理作用
通過HTTP代理,我們可以查看、分析瀏覽器和web服務器之間的HTTP通信數據。通過查看HTTP流量,我們可以方便的測試各種web漏洞,如SQL注入、文件上傳、弱口令等。
8、Burp Suite基礎
Burp Suite是用於攻擊web應用程序的集成平台。它包含了許多工具,並為這些工具設計了許多接口,以促進加快攻擊應用程序的過程。
所有的工具都共享一個能處理並顯示HTTP消息,持久性,認證,代理,日志,警報的一個強大的可擴展的框架。
Burp Suite所有功能的核心就是“HTTP”代理。他可以對HTTP流量進行各種分析,從而方便我們挖掘web漏洞。