【0基础初学者如何学习Kali渗透测试】Kali作为业内知名的渗透测试系统,内置了各种安全工具,由此受到很多初学者的的追捧 。
当然,喜欢用Kali的还是以“脚本小子”居多 。
通过Kali内置工具可以实现简单的漏洞扫描及利用,但由于技术底子薄,法律意识浅薄,导致很多初学者踩了红线 。
因此,要是不想一不小心带上银手镯,那在学习Kali之前,还是多看看相关的法律法规吧 。
Kali入门 一、Kali系统的安装与配置
往往Kali在第一次安装的时候,初学者就会遇到各种问题,摸不着头脑的时候可以按照Kali的安装教程来一步步实现操作 。
建议
遇到问题先自己想办法解决,这些都是linux使用、配置的基础,相关的技巧和知识点以后都会有用 。
注意
很多人觉得kali安装好就可以开始下一步学习了,这里就少了个重要的步骤:kali的配置 。只有配置好的Kali才能更方便使用 。
二、Kali的安全工具
kali本身只是一个操作系统,只不过是预装了很多安全工具 。
所以,真正要学习的不是kali,而是里面预装的安全工具 。
Kali经典工具:MSF()
只需要学会一些简单的语句,你就能使用MSF常见的六大版块、成百上千的攻击脚本 。
其中包含:
前期踩点
权限维持
攻击利用
内网渗透
免杀等
其他建议学习的工具
Nmap
Hydra
CS
Nc
-
juice-shop
工具学习并没有那么难,每个预装工具都有全面的安装、配置、使用教程 。
关键问题在于读懂工具到底在干嘛? 每个命令的含义又是什么?
例如:
是一款利用注入漏洞的工具,参数包括
level
risk
flush-
dbs
文章插图
dump-all
os-shell等等
教程会说:
使用-u指定存在注入漏洞的连接,这样就会自动去利用漏洞 。
你会一头雾水,什么是注入漏洞?
教程会说:
如果目标漏洞的权限够高,使用os-shell可以直接得到一个sql-shell
你会一头雾水,成功了还是没成功? 我该输入什么?
三、正确的学习路线:原理和工具同时学习 第一阶段:初步接触
初步接触先了解常见的攻击方法和工具的使用 。
例如
Sql注入的原理
漏洞存在的探测方法
以及Sql注入神器的各种指令以及指定对应的意义
了解这些知识之后,再进行实践 。
常用的命令30条左右,其他很多命令一般很少用到,因此,不要看到铺天盖地的命令就傻眼了 。
阶段二:初步入门
工具并的使用并不难,我们要理解的是工具背后的原理 。
只会使用工具的“脚本小子”太容易被人取代 。而且,技术瓶颈特别明显 。
系统学习“Kali”才是王道,尽管kali里面有很多实用工具,但是了解和学习的是渗透原理、技术是非常必要的 。
Web渗透础学习路线
第一步
Web前后端基础和一些计算机常识的了解
对应Kali系统的安装与配置
(前后端编程(H5 JS PHP SQL) 基础网络概念等)
第二步
了解当下主流漏洞的原理与利用
对应学习、Nmap、Beef工具
此时才应该是SQL、XSS、CSRF、逻辑漏洞、文件上传等主流漏洞的原理与利用学习 。
第三步
当下主流漏洞的挖掘与审计复现
对应MSF
学习一些审计中会遇到的漏洞,例如:
变量覆盖
文件包含
反序列化
学习前人所挖0day的思路,并且复现,尝试相同审计
- 如何种植盆栽番茄苗
- 计算机基础知识笔记
- 下 html外边距如何归零,CSS教程:CSS
- 如何查询个人社保缴费明细 如何查询个人社保缴费总金额
- 如何解决 java.sql.SQLException: ORA
- 如何使用计算机定时启动文件夹,手把手教你电脑开机自动打开文件夹怎么解决...
- 如何理解 rust 的单向链表
- 如何使用计算机定时启动文件夹,详细教您电脑开机自动打开文件夹怎么解决
- 项目经理如何从野路子“转正”?〔3.3体验课〕
- IT运维服务商如何将WannaCry拒之门外?恒远志成称安全需防微杜渐