今天心血來潮給大家寫個新手到黑客入門的路徑圖【附全部學習資料下載下傳】!
入門介紹:
說到黑客大家可能覺得很神秘,其實我們說的的黑客是白帽子黑客,就是去尋找網站、系統、軟體等漏洞并幫助廠商修複的人,剛入門的黑客大部分從事滲透工作,而滲透大部分屬于web安全方向,就是利用漏洞來取得一些資料或達到控制,讓對方程式崩潰等效果。
一些常用的名詞解釋:
挖洞的話,就相當于在程式中查找漏洞,舉一個不大恰當但容易了解的比喻,就像韓非子說所的那個自相沖突的故事:楚國有個人自稱自己的矛是世界上最鋒利的矛,沒有什麼盾牌它刺不破,同時又說自己的盾是世界上最堅固的盾,沒有什麼矛能刺破它,雖然兩句話在文法上并沒有什麼不妥,但卻有個緻命的邏輯漏洞,因為用他的矛刺他的盾,将導緻“不可預知”的結果,當然了,在程式中這種“不可預知”的結果往往會導緻各種問題,崩潰或執行非預期功能都有可能,這個就是漏洞了。
再來說說後門,這個很好比喻,就像是警匪片中的卧底或者是笑傲江湖中的嶽不群,表面上做一套,背地裡做另一套。在軟體中就是這個軟體提供給你了你需要的功能,但在背後它可能偷偷摸摸地幹了一些你不想他幹的事,例如竊取你電腦上的檔案。
0day和挖洞是相關的,漏洞釋出後,廠商一般不能說馬上把漏洞填補了,那麼這段時間這個漏洞是可利用的,久而久之,我們把那些剛釋出的漏洞(或者說根本沒釋出自己偷偷用的漏洞)叫做0day,當然了,它的殺傷力較一些老的漏洞往往大的多。
殭屍電腦的話我們可以直接了解為已經中了木馬受我們控制的傀儡計算機,我們可以控制傀儡機做一些我們不直接做的事情。Web安全必須要了解Web方面的一些基礎知識做為鋪墊的去的去學習這門技術,因為不是人人都可以直接先滲透在進行程式設計等方面學習的、是以為了更好的入門的Web安全必須要先掌握一些基礎知識,相比對逆向方面的入門Web安全真的不難,逆向要是想了解一個簡單的什麼叫jmp esp溢出需要的基礎知識不是一點點,如果是計算機專業的還好,不然通過自己去學習真的不是那麼簡單,不說太多,下面我就給大家推薦一個前期學習知識的路徑和資源連結。
進入學習階段:
首先是我給大家推薦的是前端的html/css/js + php進行學習,前端的這些都是肯定需要學習的知識,至于後端的程式設計語言我建議還是php,主要是因為入門學習快、目的呢就是更快的接觸到php+mysql開發,這樣前前後後的知識加起來才能在知識鍊上完整構成一個網站,這樣做的好處的就是快速了解一個網站如何開發,什麼是前端和後端?什麼是http?什麼是資料庫,網站的資料都存儲在哪?
當然不怕枯燥的話從C語言開始學起更佳,相比于C語言這種學習了半載一年還不一定有什麼成果的玩意,直接用工具按照教程來達到目的會容易且有趣的多,但學習C語言在很多的時候,往往能夠學習到C語言之外的東西,對程式的運作,記憶體的配置設定與管理,資料結構甚至是程式設計的書寫習慣,都有非常大的好處,可以說,C語言學會後再學習其它大部分的語言都會快得多。
第一部分資源連結如下:
這套PHP的教程包含了html/css/js和php+mysql保證一天看一課時的一個月就可以掌握,檔案中的“就業班”的檔案夾包括了一些後續的jquery+ajax+xml等等, 在前期的學習過程中這些後續知識可以選擇性學習
連結: pan.baidu.com/s/1geFVuz 密碼:gmj8
下面這個連結是HTTP協定的教程來源自燕十八php教程中,我覺得這個http講解的非常好
連結: pan.baidu.com/s/1eSKXw8 密碼:umuu
在學習了上面教程恭喜你已經簡單的入門了Web,接下來了就是進行安全的學習,這方面我就給大家一個教程就是小迪的,剩下的網絡上的教程個人覺得都不太适 合入門,除了個别的不錯,大部分都是直入主題之家講怎麼利用,不适合學習!
連結: pan.baidu.com/s/1nuHLen 密碼:c54y
教程中工具連接配接
連結: pan.baidu.com/s/1pLfx8S 密碼:sfsd
在學習完成以上知識後就可以在各大漏洞平台或SRC平台找一些目标來實際的挖洞一下,前期肯定是花大量的時間也不一定的夠挖到,是以可以加i春秋的QQ群問問群裡的管理們:533191896
兩個重要的思維導圖:
情報收集思維圖
漏洞挖掘思維圖
注釋:SRC是各大網際網路廠商的安全部門,負責稽核你挖掘的漏洞并提供獎勵。
挖洞時一定首要學習前期的資訊收集,俗稱:踩點
新手必看:
漫談前期資訊收集
資訊收集系列之一–搜尋引擎
資訊收集系列之二–輕量級資訊收集工具
資訊收集系列之三-重量級資訊收集工具
工具|手把手教你資訊收集之子域名收集器
注:挖洞隻為送出漏洞,維護網絡安全,請勿做出違法行為,網絡安全法規已出。
你是如何看待網絡安全法的出台的?它會對你造成什麼影響?
談網絡安全法的一些想法
第二部分資源連結如下:
好了,在學習上面的教程中已經可以算是安全入門了,不過接下來還需要在一部進行學習
這部分是沒有什麼教程的,需要自己去百度學習,學習的内容就是2003、2008作業系統聽着很簡單對不對?
我需要大家使用以上的作業系統使用網上的已有的CMS(如:discuz,WordPress,phpcms,dedecms等)大家一個站點,從在伺服器上安裝和配置php+apache+mysql等環 境開始,不要使用內建工具偷懶,去體會一個網站的搭建流程,知道是什麼ftp,什麼是空間,在網上買的虛拟主機和伺服器,vps是個什麼差別?什麼是CMS目标站點?
我建議是自行在空間商購買一個伺服器,價格一個月在100以内就可以了!
注:如果是不能購買那麼請學習安裝虛拟機本地使用鏡像搭建伺服器環境
以上的内容的最好通過百度自己完成,這些小問題都是百度都可以解決,要學會使用百度,不要什麼問題都去問别人!!!
接下來肯定是一部分的linux知識學習了
是一個線上的教程
study.163.com/course/co
接着可以學習一門可以友善我們寫exploit利用工具的程式設計語言,首選肯定是python 優點:入門快,網絡程式設計擁有強大的各種庫做支援,更易編寫工具
一套的簡易的線上教程,來自于中谷python,學習完畢後寫一些簡單的GET/POST型工具練練手不是問題
icoolxue.com/album/show
Python大法從入門到編寫POC
零基礎入門學習Python(全42集)
注:第二部分的同樣的很重要,了解網站的搭建構成,什麼是CMS,對滲透很有幫助,現在大多數的網站基本上都是使用的CMS建站,因為安全,友善,模闆樣式也多,通常在滲透過程中我們對目标的資訊收集就要着重關注這些程式的版本是不是最新的?如果不是有沒有漏洞呢?
第三部分資源連結如下:
這部分是一大塊,我不打算在細分了,之前的内容幾個月就可以完成,下面的内容能1年内完成都可以說是很不錯的!
這部分我認為應該需要掌握TCP/IP原理以及進一步的提升程式設計技術。
教主的TCP/IP教程
連結: pan.baidu.com/s/1nuBF2k 密碼:djff
傳智的前端的教程,非常推薦學習!
連結: pan.baidu.com/s/1cM12F0 密碼:6x8r
傳智的的Java教程,選擇性學習,如果感興趣Java的可以學習。如果不學習也可以看看裡面的oracle資料庫教程!
連結: pan.baidu.com/s/1mhQA4h 密碼:kx29
有兩套Python的教程,都是系統的pythonWeb開發,選擇一套學習即可
連結: pan.baidu.com/s/1miuwSJ 密碼:ahuh
完成基礎的姿勢學習後,一定要多看看其他白帽黑客的實戰思路,對你的實踐是非常有幫助的,知識是死的,思路是活的。
白帽子分享挖洞技術/思路的實戰内容【建議收藏】
挖洞小幫手:
AG安全團隊2017大型工具包
進階了解/學習:
彙編基礎視訊+天草逆向視訊
逆向/破解/病毒分析實戰分享【經常更新,建議收藏】
社會工程學也是必不可少的一項技能:
社工盒子 最全面的社會工程學工具
常見社工方法以及如何防社工
社工之經度緯度定位-50米以内
闡述網絡上所有定位方法-超高精确定位
資源不夠的話可以去這裡搜一下
超級多的白帽黑客工具/源碼類集合【經常更新,建議收藏】
超級多的白帽黑客視訊/書籍教程集合【經常更新,建議收藏】
結語:
其實在接觸了Web安全1年之後大家都自己也能知道自己以後的學習目标,第三部分主要還是推薦些好的資源!
學習過程中,尤其是前期學習千萬不要放棄,三天兩頭的進行學習,同時學習的過程中要記錄圖文并茂的筆試,最重要的進行實踐,實踐,實踐!
在實踐中發現問題,解決問題!安全非一朝一夕之事。
注:解密密碼請看壓縮包注釋
【解壓密碼直接放出來吧:複制這個網址粘貼解密,www.lthack.com/php 非廣告,無用的網址。】