Docker搭建
首先要安装docker
apt-get install docker.io docker-compose
由于docker在国内服务器中并不稳定连接 所以使用vpn给docker设置代理
在此处创建httpd-proxy.conf
搭建如图所示
其中为代理的ip地址及其端口
然后对docker进行重启即可
搭建好代理服务器后 用docker pull mysql来下载镜像
小皮面板搭建靶场
先下载小皮面板 打开
我们首先去加入pikachu文件夹 启动nginx和mysql数据库
配置好之后 在浏览器输入ip地址 即可确认(将电脑作为服务器)
在首次配置完成时需要进行初始化
使用BurpSuite破解pikachu登陆密码
在下载好BP首次使用时 需要安装证书
我们先打开bp的同时 开启电脑的代理服务器功能
它会导致无法正常访问其他软件
然后在浏览器访问
在这里下载ca证书并安装
之后 我们打开pikachu 用bp拦截
然后发送到重放器
在破解密码时 我们使用的是暴力破解 即用简单的弱口令破解
我们首先进入登陆界面 输入账号 密码不输入 点击登录的同时用拦截
之后我们放入到intruder中并选入密码
在这里加入可能是密码的弱口令库 进行挨个尝试 暴力破解
如果破解成功 会返回值200并且长度同其他不同
Msf实现永恒之蓝
打开 kali
找到永恒之蓝 并使用
我们首先找到目标攻击电脑的ip
如果防护很差 可以直接运行(大概率行不通
或者我们可以通过植入木马
利用multi/handler监听ip和端口 并运行
当目标主机运行木马 就可以拿到主机权限
HTTP协议的特点
1、无状态保存
自身不对请求和响应之间的通信状态进行保存。也就是说在HTTP这个协议对于之前发送过的请求或响应里面携带的数据都不做持久化处理
也就是即便用户输入用户名和密码登录了这个网站,当操作网站上的其他功能的时候,还需要再输入用户名和密码,因为上一次输入数据的和下一次HTTP请求已经没有关系了,每次请求都是一个新的HTTP请求,并且HTTP协议加工数据的时候,不会携带上一次的请求数据,导致没办法进行会话维持
所以后续就出现了Cookie、Session、等技术来进行会话维持,也就是保持客户端和服务端的登录状态,方便用户操作
2、无连接
优点
简化实现:无连接设计让客户端实现更简单,无需维护持久连接,适合资源有限的设备。
降低资源消耗:每次请求后连接关闭,减少了客户端和服务器的资源占用,尤其在高并发场景下。
提高可扩展性:无连接设计使服务器能处理更多请求,避免因过多持久连接导致资源耗尽。
缺点
性能开销:每次请求都需重新建立连接,增加了延迟,尤其在高延迟网络中。
缺乏状态管理:无连接设计要求每次请求都携带完整信息,增加了数据传输量,可能影响性能。
不适合实时应用:无连接设计不适合需要实时通信的场景,如在线游戏或即时通讯。
请求数据格式
总共四个部分:请求行、请求头、空行、请求数据(请求正文、请求体)
请求方式:客户端给服务端发送请求,其实都是想对服务端的资源进行一些操作,比如查询一下某些数据、修改、增加、删除某些数据等动作,那么为了服务端(也称之为后端)更加方便的理解客户端对资源的操作动作是什么,或者说更加方便服务端对客户端发送请求的动作进行限制,出现了这么几个请求方法,这几种只是常用的几种:
一般: POST、GET、HEAD、PUT、PATCH、OPTIONS、DELETE、CONNECT、TRACE
常用: GET、POST、PUT、DELETE
最常用: GET、POST