渗透测试如何入门

news/2025/3/17 17:14:02/文章来源:https://www.cnblogs.com/lcmob/p/18777206

渗透测试如何入门

我对入门的定义：（这不是路线，是要点，不存在顺序，就是最最基本的入门门槛）

Windows基础

(先别Kali了，先看看自己Windows会不会用。基础的网络知识、端口，服务，注册表，java，python环境搭建，在windows上搭建php，asp，jsp之类的环境，顺便弄清楚啥是Web容器，数据库，脚本语言，三者之间的关系……)

了解WEB服务器可能通过哪些点被入侵

(C段->Services：溢出，MySQL，FTP，WEB，RDP-> 其中WEB漏洞又分为SQL注入，XSS，RCE……)，能够脱离教程独立复现这些漏洞，或者最起码练习到，需要利用这个漏洞的时候，对着别人的文章能用起来，通关一些常见靶场。Web相关漏洞的学习，了解原理，想明白这个漏洞本身的功能点是要干什么（就是漏洞出现的场景，比如，SSRF，别人为什么要在这个地方用服务器去发送一个请求？可能是因为需要远程加载图片，可能是因为需要获取某链接的标题，这样子，才知道实战中去哪里挖。），手工和工具检测方法，利用和基础绕过思路。

熟悉渗透测试的完整流程。

(清楚地知道该干什么，并且知道怎么干。渗透思路+工具使用)

深入HTTP请求。

(这样才能懂客户端和服务器之间的交互。看《图解HTTP》，看看你收集的工具包里有哪些工具，目录扫描，sqlmap，BruteXSS这些工具的原理是啥，想想为什么说99%的渗透工作一个Burp Suite就够了（当然，好工具该用还是得用）)。

一些教程都比较经典。有些也比较古老了，但是，有些东西是不会变的，比如，原理类，有些东西是会变的，比如，以前的教程介绍子域名信息收集都是子域名挖掘机，现在我们有更强大的oneforall。只能说，入门阶段，评判是不是好教程，最重要的是我们能不能听懂他讲的东西，能不能寻找到整套教程的逻辑（以渗透测试流程为线索？以WEB要素为线索？），先把框架搭起来，新技术大部分要靠看文章慢慢来填补。

对小白的建议

如果你真的对渗透感兴趣.

首先请学好前端知识，html+divcss+javascript

掌握这两门编程语言，php和python

掌握一种数据库的使用方式，比如普遍的mysql，增删改查最基本的懂

以及掌握建站的方式

推荐：有基础的，已经理解sql注入的，可以看看工具篇，如果你还不会brupsuit ,sqlmap,nmap,msf，可以看看他的课程了解入门。

最后个人提醒：慎入这行，如果是真小白，没有大毅力，不花个至少2-4个月的时间打基础(基础就是我上面说的那些)，就别来学web渗透，另外要想学习web渗透，python 必须要懂，必须要会写自己的payload,因为好多工具都会用到python

从零开始小白漏洞挖掘

四大阶段

1.学习挖洞所需要的基础知识

【起飞的前提，你们所处在的阶段】

2.从本质上理解owasp top10漏洞，才能举一反三在实战中创造更多可能

3.深度剖析漏洞挖掘的每一步途径，走出踏实稳重的一步。

4.企业SRC漏洞挖掘实战，十年磨一剑，赚马内的时候到啦！！！

要求:

1、熟练掌握****HTML的基本标签及属性及其编写。

2、了解常见的CSS样式及掌握其简单编写。

3、熟练掌握****JavaScript的基本语法和用法。

-----https://www.bilibili.com/video/BV1YW411T7GX

4、熟练掌握****MySQL的基本语法。

-----https://www.bilibili.com/video/BV1Vy4y1z7EX

5、熟练掌握****PHP的基本语法和用法。

-----https://www.bilibili.com/video/BV18x411H7qD (基础)

-----https://www.bilibili.com/video/BV1jx411M7B7(进阶)

--可以不学的部分：

基础:P89-P96

进阶: P61-P77

6、熟练掌握****HTTP相关的知识。

---推荐书籍:《图解HTTP》

---推荐学习的网站: https://developer.mozilla.org/zh-CN/docs/Web/HTTP

---要看到什么程度呢?就看到你能完整得看懂下面这个请求包和响应包就行了，学得多不会吃亏,学得少可能会在将来需要这个知识点但你不懂的时候被我骂。

略

7、了解****计算机网络相关的基本知识。

---这块属于是学得多有好处,一点都不懂铁吃亏，学到什么程度自己把控下。

8、熟练掌握Windows和****Linux的基本命令。

---很多个知识点都会用到Windows和Linux的知识，像文件上传的绕过、命令执行..

---这块属于是学得多有好处，一点都不懂铁吃亏，学到什么程度自己把控下。

9、熟练掌握****Burpsuite的使用。

---Bp是神器来的，你不懂就别想挖洞了.

10、熟练掌握****Python的基本语法与编写。

-Python的用途

----针对特定情况的脚本定制化(参考星球文章:某小说平台存在免费&付费书籍任意下载)

----对于一些exp/poc的改编或定制(参考星球文章:CVE-2022-1713(含Poc))

----自动化漏洞挖掘脚本(参考我一年前写的xray+googlehack的自动化漏扫工具： https://gitee.com/A2cai/Treasure/tree/master/%E8%87%AA%E5%88%B6%E5%B7%A5%E5%85%B7/)

----打CTF的时候针对特定环境下的脚本编写（打CTF的就知道了.）

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.hqwc.cn/news/900452.html

如若内容造成侵权/违法违规/事实不符，请联系编程知识网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！