一、基础小知识
1、黑客的类型:白帽黑客、认证的白帽黑客、红帽黑客、黑帽黑客、灰帽黑客、骇客
解释:前三个可以说是利用自己的技术去维护网络安全或者国家的安全,黑帽黑客是利用技术去到处做坏事,灰帽黑客是致力于纯属个人兴趣去攻破各类有挑战的密码或者系统,以此满足对技术的提升,骇客就是纯纯的去利用自己的技术去犯罪或者其他的一些坏事。
2、ip地址和MAC地址
ip地址:分配每个设备可以位于网络上的地址。
MAC地址:(机器访问控制)是分配给每个设备网络接口的唯一序列号
3、白帽黑客的工具
kali linux:集成了众多安全工具于一身的linux系统。
wireshark:一款流量分析软件,可以有效地观测到网络流量的走向nmap:网络扫描器,其功能强大,是信息收集的重要工具maltego:一款社会工程收集软件,它可以将信息网络化,具体的分析出一个实例它所有的关系网络或者重要信息。等等.....以上先列举这些,具体有用的工具还有很多
4、踩点,踩点技术
踩点:指的是在访问任何网络之前的信息收集,将收集到与目标网络有关的信息全部累积起来,黑客入侵前采用的方法。(注:任何未授权的渗透、入侵都是违法行为,请在授权的情况下进行测试)信息收集可谓是非常关键,前期信息收集的足够多,后期在渗透的过程中就会有更多的思路去拓展踩点的技术:开源踩点、网络枚举、扫描、协议栈指纹等等
5、暴力攻击
暴力攻击是指用不断的枚举去破解密码并获取系统和网络资源的技术,需要较长的时间,非常典型的工具就是hydra(九头蛇)之前文章中有用过。
6、Dos攻击
Dos攻击称为拒绝服务攻击,是一种对网络的恶意攻击,这是通过使用没有用的流量去发起对网络的洪流攻击,消耗网络的资源,使网络不能正常访问,虽然Dos不会导致信息泄露或者被窃取以及一些安全漏洞,但是会造成网站所有者的各类损失。
7、SQL注入
sql注入是用于窃取数据的一种技术,因为数据大部分存在于数据库中,而查询数据获取数据的代码都写在应用程序的代码中,这样就有可能因为代码写的不规范,导致入侵者可以通过将恶意SQL命令注入到数据库引擎执行,从而造成数据泄露。sql注入常年位列owasp top10 榜首!
8、网络嗅探网络嗅探是指通过监视计算机网络流动的数据,通过捕获并查看网络上的数据包,窃取信息,同时嗅探器工具可以帮助定位网络问题。
9、ARP欺骗
ARP是地址解析协议,攻击者通过伪造的ARP请求和应答数据包来改变目标计算机的ARP缓存更改MAC地址,攻击局域网。此时可以使用网络嗅探工具联动,查看被攻击者正在浏览的一些图片或者信息等等的数据。
10、键盘记录器木马(Keylogger)
键盘记录器木马是一种恶意软件,它可以监控键盘的点击,记录到文件中然后方法送给远程的攻击者,早年间的企鹅用户被盗,其中就有一种是目标计算机被植入了此种木马,然后当登录企鹅时记录了密码,导致账户密码丢失。
11、黑客攻击阶段
利用漏洞进行攻击,获取访问权,权限提升,应用程序隐藏,消除操作记录掩盖踪迹。
二、安全术语
肉鸡:是指已经被入侵者控制,入侵者可以像操纵自己的一样去操作它们而不被发觉。
僵尸网络:是指采用一种或多种传播手段,将大量的主机感染病毒,从而形成控制者和感染主机之间形成一个可以一对多控制的网络。(常被用在真实的Dos攻击中)
木马:表面上伪装成正常的程序,实则当程序运行后,黑客就会获取系统整个控制权限。比如灰鸽子木马
网页木马:伪装成普通网页文件,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马下载到访问者的中运行。
挂马:在别人的网站文件里放入网页木马或将代码嵌入对方正常网页文件中,使浏览者中马。
大马:功能比较强大的网页后门,能够执行命令,链接到后台数据库,操作文件等等操作
小马:比较简单的网页后门,一般是用来上传保存大马而使用。(多个思路,渗透成功率更高)
一句话木马:只有一段很短的网页代码后门,可以用客户端去连接,以此对网站进行控制
后门:顾名思义,就是在正门没办法进入的时候,开启了一个只有自己有钥匙的后门。指在成功攻击且控制目标主机后,对对方系统中植入了特定的程序,以便以后可以随时与控制的主机建立联系
社工库:一个强大的数据库,是黑客们将泄露的用户数据进行整合分析后,归档到一个集中的地方
提权:提高自己在服务器或系统中的权限,拥有更高的权限,所能做的事情就越多
网络钓鱼:利用欺骗性的邮件或者Web站点来进行欺骗,受害者访问后,会泄露自己的隐私信息,如用户名和密码等等
社会工程学攻击:社会工程学攻击专门是对受害者心理的弱点一种攻击,利用一些心理学的知识,察言观色,一步一步的诱导被攻击者按照自己的想法去做事,或者可以套话,套出很多有用的信息,强大的社会工程学家可以不用爆破,获得用户密码。(可以去看看WHOAMI这部影片,将会有更深刻的了解)
托库:是将数据库中的数据导出,在黑客入侵成功后,则会把数据库中的所有数据一并带走。
撞库:是指黑客利用自己所收集的互联网泄露的信息,生成一个密码字典,然后批量的去尝试登录其他网站。
rootkit:攻击者用来隐藏自己的行踪和保留root权限的工具。
shell:是一种命令环境,比如windows里的cmd窗口。
web shell:webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门。
旁站入侵:是指同一个服务器上有多个站点,可以通过入侵其中一个站点,通过提权跨目录访问其他站点。
C段入侵:C段下入侵同一网段的服务器,如果拿下其中一台服务器,通过此服务器可以嗅探目标服务器传输的数据。
免杀:就是通过加壳,加密,修改特征码、加花指令等等技术来修改程序,使其能够逃脱杀毒软件的查杀。
加壳:就是利用特殊的算法,将EXE可执行程序或者DLL动态连接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。方法有很多,随后会更新一期专门的文章去解释。
跳板:一个具有辅助作用的机器,利用这个主机作为一个间接工具,控制其他主机,一般和肉鸡连用。
蜜罐:是一个故意暴露给攻击者的目标,为的是引诱黑客攻击,从而知道攻击者的攻击手段,从而更好地进行防御。
Exp/Exploit:漏洞利用代码,运行后可以对目标进行攻击。
POC/Proof of Concept:漏洞验证代码,监测目标是否存在对应的漏洞。
Payload:有效载荷,成功exploit后,真正在目标系统执行的代码或指令。
CVE:CommonVulnerabilities & Exposures 通用漏洞披露
CNVD:国家信息安全漏洞共享平台,简称CNVD
0day:0day漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。
1day:1day刚发布但是已被发现官方刚发布补丁网络上还大量存在的Vulnerability
Nday:Nday已经被公布出来的0day
渗透测试:黑盒测试、白盒测试、灰盒测试
SRC:即SecurityResponse Center,中文名为安全应急响应中心,主要职责为挖掘并公开收集机构存在的漏洞和其他安全隐患。
三、补充说明
本章主要是补充说明一下C段网络,给没有分清楚的ABCD段网络的同学加深印象,以便更好的了解计算机网络。
首先我们要清楚IP地址分类:
A、B、C、D、E类
A类地址:
它的范围是0——127,0是保留的并且表示所有IP地址,127也是保留的并用于测试回环的,就比如有的,本机地址在运行某个web项目时,会让访问127.0.0.1或者0.0.0.0加上端口号。
第一段号码为网络号码,剩下三段为本地计算机的号码,地址范围:0.0.0.1——126.0.0.0
子网掩码为255.0.0.0(用于区别网络类型)此处第一段0或者126是网络号码,后面的0.0.1或0.0.0是说明的本地计算机的号码。
B类地址:
它的范围是:128——191,例如:172.168.1.1,第一段和第二段是网络号码,也就是说172.168这两段是网络号码,后面的1.1是本地计算机号码
总体B类地址范围是:128.0.0.0——191.255.255.255
子网掩码:255.255.0.0
C类地址:
它的范围是:192——223 ,例如:192.168.1.1,第一、二、三段都是网络号码,剩下的那个1是本地计算机号码,如果安装过虚拟机的同学可能清楚,在虚拟机安装后,将虚拟机的网络连接设为NAT模式,它其实默认的就是C类地址,比如之前渗透项目里的192.168.183.131,192.168.183是网络号码,131是本机号码。
总体C类地址范围是:192.0.0.0——223.255.255.255
子网掩码“255.255.255.0
剩下的D类和E类可以了解一下,D类地址称为广播地址,用于多点广播,平时我们不涉及,E类地址是保留地址,也不会涉及。
