小迪WEB滲透最新第十期(全套無KEY)

admin · 發(fā)表于 2016-1-29 21:11:36

目錄照舊是以前的
注：小迪的內(nèi)部培訓工具包在優(yōu)秀軟件板塊有，如果大家沒軟件的話可以去下載哦。

游客，如果您要查看本帖隱藏內(nèi)容請回復

基礎補習：

環(huán)境搭建篇（2天）
虛擬機安裝
安裝win2003，winxp，kali等操作系統(tǒng)
安裝VMware
安裝必要工具和插件
學習使用虛擬機快照，網(wǎng)絡配置，線程設置等
腳本編程篇（4天）
1.html語言基礎補習（表單，跳轉(zhuǎn)，處理）

2.asp,php腳本編程基礎補習（注釋符，接受函數(shù)，編寫規(guī)則，處理函數(shù)）

3.sql語言基礎補習（查詢，插入，修改更新等）
4.實例自己寫文件上傳頁面
5.實例自己寫sql注入測試頁面
6.實例自己寫后門小馬，大馬

1.搭建asp,php,aspx等環(huán)境（軟件包，集成包，IIS，apache，tomcat等環(huán)境）

2.了解常見的搭建組合（asp+access，asp+mssql等）

3.學習常見數(shù)據(jù)庫和網(wǎng)站應用（iis6.0 7.0 apache等）

4.分析數(shù)據(jù)庫和網(wǎng)站信息傳遞過程，了解web服務流程（sql數(shù)據(jù)和網(wǎng)站調(diào)用）

5.HTTP數(shù)據(jù)包分析（請求行，狀態(tài)行，相應碼等）

1.實例sql注入原理分析
2.實例手工注入asp+access全過程

3.實例手工注入asp+mssql全過程

4.實例工具注入（啊D，明小子，穿山甲，sqlmap）

5.實例php+mysql5注入（密碼猜解）
6.實例php+mysql5注入（文件讀�。�

7.實例php+mysql5注入（文件導出）

8.網(wǎng)站路徑查找（爆路徑，遺留文件等）

9.實例php+mysql5.0以下注入入侵思路

10.實例jsp+orcle注入（手工+工具）

11.實例java，strust等漏洞利用

12.實例其他數(shù)據(jù)庫注入（postsql，db2等）

13.實例cookie注入 post注入

14.代碼審計注入漏洞產(chǎn)生原理

15.access偏移注入

16.access跨庫注入

17.xml實例注入原理和攻擊演示

18.寬字節(jié)(搜索)注入

19.xpath注入

20.盲注產(chǎn)生和利用

21.數(shù)字，字符，搜索注入

22.關于掃描器注入利用

22.繞過防注入繼續(xù)注入（waf攔截，關鍵字攔截，函數(shù)攔截等）

23.其他類似復雜注入問題

1.上傳漏洞解析漏洞（iis，apache，uginx等）

2.上傳漏洞一（filepath漏洞）

3.上傳漏洞二（%00截斷漏洞）

4.上傳漏洞三（filetype漏洞）

5.上傳漏洞四（文件頭，文件類型漏洞）

6.實例文件頭和文件完整性上傳漏洞

7.代碼審計上傳漏洞產(chǎn)生原理

8.實例編輯器漏洞eweb一般流程

9.實例編輯器漏洞eweb密碼破解不出的突破

10.實例編輯器漏洞eweb本地構(gòu)造

11.實例編輯器漏洞eweb目錄遍歷漏洞

12.實例編輯器漏洞fck一般流程

13.實例編輯器漏洞fck突破“.”變“_”

14.實例編輯器漏洞fck_exp漏洞利用

15.其他編輯器綜合利用

1.學習反射型xss，存儲型xss，demo等

2.實例如何利用各類xss

3.實例xss漏洞盜取cookie

4.實例xss漏洞post表單（表單劫持，網(wǎng)站引流，各類xss作弊網(wǎng)賺等）

5.實例xss黑吃黑webshell箱子（單頁面xss入侵思路，網(wǎng)賺xss訂單偷取等）

6.xss實例中的限制和繞過（字符限制，長度限制，編碼繞過，其他函數(shù)等）

7.csrf+xss攻擊演示和利用

8.xss+msf實例演示劫持個人pc

9.xss專業(yè)神器工具介紹和使用（xsser，beff）

10.各類xss掃描工具介紹和利用

11.代碼審計中的xss漏洞挖掘修復

1.實例演示文件包含（遠程包含，本地包含原理分析）

2.關于命令執(zhí)行漏洞（代碼函數(shù)分析）

3.實例本地，遠程文件包含獲取webshell

4.實例命令執(zhí)行獲取權(quán)限

5.文件包含，命令執(zhí)行隱藏后門利用

6.dedecms，thinkphp，phpcms等cms程序類似漏洞分析和利用

7.變量覆蓋，變量喂養(yǎng)漏洞分析利用（dedecms演示）

8.關于相關漏洞函數(shù)功能分析

1.常見網(wǎng)站cms判斷和識別（whatweb等工具使用）

2.常見網(wǎng)站后臺查找（學習短文件漏洞，目錄爬行，目錄掃描，谷歌黑客等）

3.常見網(wǎng)站漏洞查找（各大漏洞網(wǎng)站介紹，各種漏洞影響說明）

4.常見大型網(wǎng)站滲透思路（端口，分站，報錯等）

1.實例其他web安全漏洞（http注入，文件頭攻擊，Location-Spoofing，下載漏洞等） 2.實例后門檢測和分析篇（長期保持程序，webshell變異，內(nèi)核后門，后門偽裝隱藏） 3.實例搭建webshell箱子，制作菜刀后門

4.數(shù)據(jù)脫褲，源碼打包等方法解析（工具，腳本分析）

1.實例表單破解（后臺密碼，webshell密碼等） 2.端口爆破（x-scan，hscan等） 3.端口入侵（mssql，mysql，phpmyadmin，ftp等）

4.服務提權(quán)（ftp提權(quán)，mssql提權(quán)等）

1.cdn 尋找真實ip演示 2.web 安全常見的加解密方式

3.編碼中的base64注入演示

4.過防護一句話木馬分析

5.windows工具：sqlmap，wvs，burpsuite，appscan等工具使用和問題（如何利用不認識的漏洞報告，各個掃描器優(yōu)缺點）

1.后臺拿shell（上）_數(shù)據(jù)庫備份，文件格式修改，插入一句話

2.后臺拿shell（中）_抓包上傳，模板修改，sql執(zhí)行，cms突破拿shell等

3.后臺拿shell（下）_ecshop,dedecms,dz，phpcms，WordPress等cms拿shell等

1.實例滲透windows，linux命令學習

2.實例可讀可寫目錄查找腳本篇

3.系統(tǒng)腳本權(quán)限設置和腳本程序應用日志

4.關于提權(quán)日志清除，日志恢復

5.實例溢出漏洞提權(quán)（解決cmd無法執(zhí)行，解決目錄不可寫，解決權(quán)限問題等） 6.實例數(shù)據(jù)庫提權(quán)（mysql_UDF提權(quán)，mysql_MOF提權(quán)，mysql_啟動項提權(quán),mssql_sa提權(quán)等） 7.實例lpk提權(quán)（DDOS+LPK提權(quán)）

9.星外提權(quán)（7i24，西部主機，freehost等） 10.linux溢出漏洞提權(quán)（漏洞尋找，編譯exp，反彈shell等） 11.rar，cacls，type命令在提權(quán)，滲透中的妙用）

12.關于遠控軟件在提權(quán)中的利用

13.內(nèi)網(wǎng)環(huán)境下的提權(quán)（LCX轉(zhuǎn)發(fā)，內(nèi)網(wǎng)轉(zhuǎn)發(fā)，端口映射等）

14.提權(quán)中各類組件支持理解（ws組件，數(shù)據(jù)庫組件，系統(tǒng)組件等）

15.三類提權(quán)總結(jié)（windows，linux，虛擬星外主機等）

16.如何尋找更多更全的提權(quán)exp

1.代碼審計sql注入漏洞（接受值跟蹤，接受方式判斷，接受值處理）

2.如何查找，如何修復sql注入漏洞

3.相關修復函數(shù)學習和理解

1.代碼審計xss跨站漏洞（接受值跟蹤，接受方式判斷，接受值處理）

2.如何查找，如何修復xss跨站漏洞

3.相關修復函數(shù)學習和理解

1.實例代碼審計文件上傳漏洞并修復（常規(guī)函數(shù)學習，安全函數(shù)，處理函數(shù)）

2.如何查找，如何修復上傳漏洞

3.實例代碼審計文件包含，命令執(zhí)行，變量覆蓋漏洞并修復（常規(guī)函數(shù)學習，安全函數(shù)解析）

4.如何查找，如何修復文件包含，命令執(zhí)行，變量覆蓋漏洞

代碼審計實戰(zhàn)：實例dedecms，phpweb,大米cms,aspcms,dz，phpcms等插件漏洞分析（學習挖洞思路和方法，學習大牛挖洞經(jīng)驗，審計工具具體使用）入門：BT5+KALI入門和進階（測試環(huán)境搭建，基礎命令學習，msf加載）

實驗1.實例局域網(wǎng)dns欺騙攻擊

實驗2.實例局域網(wǎng)arp欺騙攻擊

實驗3.實例MSF加載webshell提權(quán)利用實驗

實驗4.實例端口一體化入侵流程

實驗5：實例內(nèi)網(wǎng)劫持配合網(wǎng)馬劫持PC
實驗6：實例beef+ettercap+msf到服務器
實驗7：實例set社工+安卓木馬控制安卓手機實驗

實驗8：實例會話session劫持控制目標QQ空間，新浪微博，百度貼吧等

實驗9：實例web安全工具講解使用

kali下.實例windows平臺內(nèi)網(wǎng)滲透（弱口令破解，域環(huán)境滲透，hash入侵等）

kali下.安全注入工具sqlmap使用(數(shù)據(jù)猜解，sql執(zhí)行，waf編碼繞過，數(shù)據(jù)脫取等)

kali下.實例windows平臺內(nèi)網(wǎng)滲透（弱口令破解，域環(huán)境滲透，hash入侵等）

kali下.安全注入工具sqlmap使用(數(shù)據(jù)猜解，sql執(zhí)行，waf編碼繞過，數(shù)據(jù)脫取等)

Tyla · 發(fā)表于 2016-1-29 21:14:34

資源共享吧真是一個好地方！

a4700 · 發(fā)表于 2016-1-29 21:17:29

帥氣，不多說，666

不學無術 · 發(fā)表于 2016-1-29 21:20:37

論壇不能沒有像樓主這樣的人才��！

rui · 發(fā)表于 2016-1-29 21:25:44

66666666666666666666

往事成風 · 發(fā)表于 2016-1-29 21:29:56

jxh688 · 發(fā)表于 2016-1-29 21:48:30

土土國；斷加加加上

slwan · 發(fā)表于 2016-1-29 21:55:06

小迪WEB滲透最新第十期 [修改]
高級模式

cool7159 · 發(fā)表于 2016-1-29 22:18:34

樓主雷鋒啊，謝謝分享

timyuheng · 發(fā)表于 2016-1-29 22:23:07

我發(fā)現(xiàn)我一天也離不開資源共享吧了！

		自動登錄	找回密碼
密碼			注冊成為正式會員

[安全/滲透] 小迪WEB滲透最新第十期(全套無KEY)

論壇管理員

超級版主

終身VIP會員

資源共享吧男神

終身成就