02.basis.md
[toc]
# 基础知识
web(World Wide Web)==万维网==跨平台的分布式信息系统
# web
图解:
前端:(看得到的) 后端:(看不见的)
http/https(协议)
html/css/javascript 后端语言+服务器+数据库
2
3
4
5
6
# 1. 前端
看得到的页面(小孩子)
html --> 赤裸的身体
css --> 漂亮的衣服
javascript --> 肢体动作
2
3
4
5
# 2. 后端
看不到的东西(父母)
其实服务器(就是一台电脑)上的一个程序
php python node.js c java --> 编程语言其实就和各个国家的语言一样
2
3
4
千万不要说什么编程语言好 和==中国人交流当然说汉语最好==
# 3. 数据库
数据库: 存放数据的容器(储物柜)
mysql oracle mongoDB --> 和你想存储的物件大小决定的
2
3
千万不要说什么数据库好 ==大型数据
oracle
==小型数据mysql
# 4. 协议
协议: 规定好的通信、交流方式
中文协议:规定主谓宾 --> 我爱你姑娘 姑娘你爱我-就会变意思
协议:双方规定怎么交流
2
3
4
web安全:前端、后端、协议、数据库等都有问题
# other1.0
# 1. 服务器
服务器: 一台很牛b的电脑
# 2. IP
地址、端口
只有拥有
ip地址
,才能上网
ip地址:(Internet Protocol Address) 互联网协议地址,全球唯一
端口:(0~65535) 每个软件的 通信进出口
2
3
# 3. 内外网
局域网:LAN(Local Area Network) -- 内网
广域网:Wan(Metropolitan Area Network) -- 外网
内网ip:
192.168.*.*
172.16.*.* - 172.31.*.*
10.*.*.*
其他就是外网ip
2
3
4
5
# 4.url
url:(Uniform Resource Location)统一资源定位符 每个资源都是全球唯一的
# 5. Mac地址
mac:(Media Access Control) 介质访问控制符==全球唯一==每个硬件都有
# 6.映射和端口映射
映射:转移,(打给妈妈的电话,转给我接)
端口映射:(路由器设置,端口转发)
只要通信就要打开端口
# 7. 域名和DNS
域名:ip地址的别名==为了方便记忆==
DNS: 域名解析服务器 提供域名解析为ip地址的
# other2.0
# 1. 网卡
网卡:==联网设备==都有的硬件(芯片、pcd板、天线)
# 2. 网关
网关:(海关)网卡的门==所有的流量进出口==
//tracert 路由跟踪
tracert www.baidu.com
//通过最多 30 个跃点跟踪
//到 www.a.shifen.com [14.215.177.38] 的路由:
1 1 ms <1 毫秒 1 ms 192.168.0.1 //网关
2 743 ms 525 ms 615 ms 172.16.247.53
2
3
4
5
6
7
8
# 3. ipv4/ipv6
历史原因:ipv4设计之初,能够为所有电脑分配地址,但是科技发展的原因,ipv4资源匮乏。为什么还有ipv4呢?(nat:地址转换技术的出现)
ipv6:可以为世界每一颗沙子分配一个地址
# 4. 浏览器
浏览器:==上网==的软件
# 5. 操作系统
linux,windows:(Operating System OS)==管理硬件和软件==的软件
# 6. 虚拟机/Docker
虚拟机:(vmware、virtualbox)虚拟一个系统出来
Docker:也是虚拟系统,利用系统公共特点,但更加==小巧灵活==
# 7. nat/桥接(**)
桥接:主机和虚拟机平级关系 (网关相同,同一网段)
NAT: 主机和虚拟机父子关系 (网关不同,不同网段,父子关系)
# 8. shell/webshell
shell: 控制计算机的一个命令行
webshell: 通过网页形式,控制计算机的一个命令行网页界面
# 9. 正向/反向shell
正向:黑客主动连接受害者
反向:受害者主动连接黑客
# 10. 弱口令、字典、暴力破解
弱口令:简单的密码
字典:收集的密码集合
暴力破解:一个一个密码的尝试
# 11. cookie/session
cookie: 存放在客户端
session: 存放在服务端
都是保存状态的文件或数据(记住密码和账号)
# 12. Bypass
bypass:==绕过==比如你想要进入一个小区,但是有门卫大爷,你绕过他进去的这个动作,就叫绕过,方法手段千奇百怪
# 13. 漏洞/oday漏洞
漏洞:程序设计人员设计软件硬件时设计漏洞,产生bug
0Day:最新产生的大的bug
# 14. 攻击/入侵/渗透/DDOS/肉鸡
攻击入侵渗透:获取目标信息,获取目标shell
DDOS:绝决服务攻击,打死目标服务
肉鸡:已经被控制的计算机
# 15. 代码审计
代码审计:看代码,找bug
审计工具:自动快捷找bug的工具
# 16. CTF/AWD
CTF:(Capture The Flag)夺旗赛:黑客心中殿堂 线上赛
SWD:(Attack with Defence) 线下赛
# 17. 靶机/DVWA/CMS
靶机:搭建好的漏洞测试环境
CMS: 内容管理系统 后台
# 18. 工具工具
sqlmap、Burpsuit:可以适当使用工具,但请一定先明白其原理
# 19.后渗透
后渗透:攻击结束,建立持久访问的联系