复述本周任务

时间：2020.5.4——2020.5.9
内容：

• 学会使用dirsearch（Python3环境）；
• 学会使用hackbar（Firefox插件）和burpsuite 抓包改包功能；
• 利用phpstudy搭建dvwa靶场
• 学会使用burpsuit的Intruder模块，并完成dvwa的第一个模块brute force（high级别选做，可以网上拜拜大佬的文章）
• 完成攻防世界web新手练习区的1、2、3、4、6、8、9题（一定要结合之前的学习成果）

使用dirsearch（Python3环境）

loading…100％

dirsearch是什么

dirsearch is a simple command line tool designed to brute force directories and files in websites.
目录爆破

我的理解是：它是用来扫描我所指定的某个url里的目录

dirsearch使用

• 在cmd里切换到安装目录
  

• 输入 ：py dirsearch.py -u ulr -e *
  
  其中，这几个参数的意思是：

  • -u 即URL target（我所指定的网址）
  • -e 即Extensions (比如php，asp，*）（我指定的网站脚本类型）

• 运行结果
  
  扫描时间，状态，大小，扫描的目录

我以为我已经会了…
但是，当我换了一个url来扫描时…

报错？No such file or directory…不都是url吗？为啥有的可以运行出来，有的不行…
不应该所有url是都可以扫描出来吗？存疑待解

使用hackbar（Firefox插件）和burpsuite 抓包改包功能

使用hackbar（Firefox插件）

HackBar 是firefox浏览器上的一个插件（相当于一个工具包，可以用来SQL injection，XSS等）

按下Fn+F12后：

• 界面：Load URL（加载，直接点一下就可以将地址栏的url复制进去）, Split URL（切分） Execute （执行，同Fn+F5）
• Encoding(各种编码)：Base64 Encode,Base64 Decode,URL Encode,URL Decode,
  HEX Encode HEX Decode
• Encryption(数据加密)：MD5、SHA-1、SHA-256、ROT13
• SQL -> Union Select Statement 联合查询

结合网上的资料基本了解了以上参数，但是在进一步学习使用时，遇到瓶颈。有很多的文章推荐与DVWA 一起学习。因此先放了放。

见第三个任务，现在DVWA已经准备完毕。
附大佬文章 链接
按照步骤来：
1.设置火狐浏览器代理；
2.打开phpstudy（Apache和MySQL）以保证进入DVWA；
3.点击DVWA Security，选择等级为low，点击submit；
4.点击SQL injection，输入id为2，点击submit；
5.打开hackbar，点击load URL此时显示应为：

6.点击DVWA Security，选择等级为Medium，点击submit；
7.点击点击SQL injection，输入id为1，点击submit，显示为：

即可：

burpsuite 抓包改包功能

我感觉这一个小任务在很多地方已经使用过了，就不做详细解释：
（这里我使用chrome浏览器）
1.设置代理；
2.打开拦截；
3.传送流量包；
4.拦截，抓包成功；
5.修改参数，浏览器界面发生相应变化，改包成功（最好用英文，因为中文的包是乱码，不好辨认）

利用phpstudy搭建dvwa靶场

什么是dvwa

基于PHP/MYSQL环境写的一个web应用（解压到phpstudy网站根目录）
帮助学习web渗透测试

配置dvwa环境

附学习链接DVWA安装
附大佬链接解决方法

• 打开phpstudy
  
  启动Apache(我理解是因为后面要用localhost127.0.0.1)和MySQL（数据库，因为DVWA默认的Backend database是MySQL）

• 在官网上下载DVWA-master.zip的压缩包，解压到phpstudy的WWW目录下！

• 打开WWWDVWA-masterconfig，完成两步：1.打开dist文件config.inc.php(因此我要先把后缀显示出来)（可能我上次没有修改成功是因为改的那个“.text”并不是真的后缀名，所以直接删去后没有反应）
  
  改为php文件。2.用记事本打开该文件，改默认密码 “p@ssw0rd” 为 “root”。

• 打开任意浏览器（我试了联想浏览器和火狐浏览器两种，均可），在地址栏输入：127.0.0.1/DVWA-master/setup.php 进入界面（一定要保证phpstudy的Apache和MySQL是启动状态）

• 下滑到底部，点击“Create/Reset Database”按钮创建数据库，登陆进去（默认用户名为admin，密码为password）
  
  ok！这就算成功了。

学会使用burpsuit的Intruder模块，并完成dvwa的第一个模块brute force

刚看到这个的时候我还以为是两个分开的小任务（黑脸），直到我点击了login

百度走起…
附大佬文章 链接
但是在跟着步骤操作的过程中…有几个地方一定要注意！（都是我的心酸史…）
1.一定要保持phpstudy开着；
2.我用的浏览器是chrome，然后在设置代理模式的时候，跳出来的是windows（如下）

这是不行的！必须要下一个插件SwitchyOmega

而且要打开…
3.在登陆DVWA的时候我用的是本机ip（用127.0.0.1，始终拦截不到流量包）；
4.拦截的时候要打开Intercept is on！
5.在进行到设置Payloads的时候，点击Load后不知道选什么才能加载出密码字典…查了好多资料都没有…然后接着感觉去github上下载了个Blasting_dictionary-master
（感觉这操作就跟强行一个一个试密码一样…）
我选的是这个…因为上面有爆破两个字…

then…点击Start Attack后会出现一个新的界面，然后等待…但是出来的状态全是302，又试了好几次…才出现下面这个：

但是，这账号密码不对…而且之后我试了几次，每次的结果也不同…
以及，抓到最后已经没有响应了。存疑待解

继续查资料：附 链接
brute force与DVWA Security的几个级别——low，medium，high，impossible结合起来。（这个就像个练习——解开这个brute force的账号密码，四种级别难易程度逐级递增）
（我们在学习使用hackbar（Firefox插件）的时候就结合DVWA一起接触过前两者个级别）

• low级别

• 服务器只验证了参数Login是否被设置
• 没有防爆破机制，对参数username没有做任何过滤，存在明显的sql注入漏洞
• 对$pass做了MD5校验，杜绝了通过参数password进行sql注入的可能性。

理解: 服务器漏洞多，比较容易爆破得到账户密码

• medium级别

• 较low代码，增加了mysql_real_escape_string函数（会对字符串中的特殊符号，如x00，n，r，，’，”，x1a进行转义），基本上能够抵御sql注入攻击(宽字节注入可以搞定)
• 依然没有加入有效的防爆破机制

理解：服务器漏洞较多，比low多了个转义函数，但操作基本和low一样；而且每次试密码，都要隔2s，所以时间会更久。

• high级别

• High级别的代码使用了Anti-CSRF token来抵御CSRF的攻击，使用了stripslashes函数和mysqli_real_esacpe_string来抵御SQL注入和XSS的攻击。
• 由于使用了Anti-CSRF token，每次服务器返回的登陆页面中都会包含一个随机的user_token的值，用户每次登录时都要将user_token一起提交。服务器收到请求后，会优先做token的检查，再进行sql查询。所以，我们不能再利用burpsuite进行无脑式的爆破了。

理解：又多了一个 Anti-CSRF token，已经不能用burpsuite爆破了

• impossible级别

impossible级别在 high 的基础上对用户的登录次数有所限制，当用户登录失败达到3次，将会锁住账号15分钟，我不小心经历了…

理解：上面那个截图就是在impossible下做的…所以我错了…待补

完成攻防世界web新手练习区的1、2、3、4、6、8、9题（一定要结合之前的学习成果）

第一题 view source：
这一题，我百度了一下如何查源代码。附链接，一共有四种方法：1.鼠标右键“查看网页源代码”；2.Ctrl+U；3.view-source:url；4.浏览器–>更多工具–>开发者工具/页面源代码。我直接用的Ctrl+U。
第二题robots：
首先什么是robots：

robots协议也叫robots.txt（统一小写，url对大小写敏感），是一种存放于网站根目录下的ASCII编码的文本文件，是搜索引擎中访问网站的时候要查看的第一个文件。

我的理解：如果有robots.txt文件，那么就是说里面规定了哪些页面能访问、哪些不能。如果没有，那除了被口令保护的页面以外，其他都可以访问。
所以，在这题中，我们先打开robots.txt，里面说有个php文件不允许打开；那我们就逆行其道，打开它。果然，里面就是要找的flag。

第三题backup：
打开网页：“你知道index.php的备份文件名吗？”，因此将地址补充完整,得到一个bak文件。用火狐浏览器打开，还是只有那句话，因此，受第一题启示，查找页面源代码Ctrl+U，ok。

第四题cookie：
打开网页：“你知道什么是cookie吗？”。

Cookie是由服务器端生成，发送给User-Agent,浏览器会将Cookie的key/value保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器，然后服务器就能辨认出我们。

就是说，我们可以有某种方式获取浏览器的cookie,百度了一下，但是网上的F12–>console–>输入document.cookie没有试出来，和F12–>network–>Name–>Cookies倒是成功了，另外，我试了下用火狐浏览器的hackbar，也找到了。

第六题weak_auth：
随便输入一个账号后显示username是admin…所以这道题就是要找到password。
（关键是，我就随便试了一下密码是123456，就进去了…）
但是我还是要用burpsuite的intruder再来一遍！（为什么用这个，我感觉这个就是用来找账号密码的…而且又有一个爆破目录），用的是chrome浏览器。

第八题get_post：
这道题就是考get和post是怎么用的。

get请求的数据会附在URL之后，以？分割URL和传输数据，参数之间以&相连

因此，在地址后面加上?a=1

post请求可以用hackbar来操作

第九题：
“ip地址必须为123.123.123.123”，因此，我们要用burp来改包。
我个人感觉用chrome浏览器来抓包比较好用。

注意！当页面转换后，刷新一下，此时，必须要重新输一遍X-Forwarded-For=123.123.123.123进去，再输referer=https://www.google.com。

总结

最后谈一谈做完第二次任务的感受吧…太累了，一坐一整天，永远都是还差点或者不想关机开机重头来…我不知道是我…不灵光还是别的啥原因，我感觉我从头卡到尾，整整三天，才把任务基本过了一遍…不过我自我感觉我也有很大进步的，最明显的表现就是：虽然也不大懂吧，但是还是能将就着用出来。不知其所以然，但是知如何然…另外，做题真的是个好办法，做完这几个题，我对于burpsuite是越来越熟练，以及就这段时间这么多的浏览器使用感受，chrome是真的好用…
扯了一堆乱七八糟的，还是给自己加加油吧！向大佬看齐，我先秃为敬…