资安学习路上-Linux基础与Web基础1

决定好学习方向後(台科大资安研究社社课为主),发现他的课程有连续性,直接一口气买了110年上下两个学期的学习资源(录影+简报),并从上学期开始学习。

https://ithelp.ithome.com.tw/upload/images/20220504/20148431JK2RE2rm8k.png
图1、110年上学期课程规划

Linux基础与Web基础1(台科大资安社课)

Injection

Command injection:出现在执行Command的地方

  1. Command=指令=命令=作业系统操作指令
  2. CLI(Command-Line Interface)-命令列介面 VS GUI(Graphical User Interface)-图形使用者介面


图2、CLI VS GUI

图3、CLI VS GUI
3. 可影响受害主机/服务器,执行指令(如:关机、删除log、当跳板)
4. 服务器:可以看做是一台主机,可以用来当作网站、ftp...服务器,如果是当作网页服务器,就要安装网页服务器软件,而可以执行指令是因为有OS。
5. 如下图输入一个分号,让服务器在执行完指令1 "check Taipei"後,接着执行指令2 "ls",就将资料夹内档案资讯透露出来

图4、Command injection

SQL injection:出现在执行SQL语法的地方

  1. SQL语法:资料库的执行语言
  2. 可影响资料库的资料(查看、新增、修改、删除…)
  3. 常发生在登入的位置
    https://ithelp.ithome.com.tw/upload/images/20220505/20148431qYD5v8EuLt.png

windows及Linux作业系统简要比较

  1. 常见OS:通常先学linux指令,再学win,因为linux好上手。
  2. 常用网页服务器软件:
    (1)apache(XAMPP):windows,XAMPP解释,X:集成、A:apache、M:MySQL、P:Perl程序语言、P:PHP
    (2)IIS:windows,政府常用。
    (3)apache./nginx:Linux常用。
  3. 网站程序码路径:
    (1)win: C:\inetpub\wwwroot
    (2)linux:/var/www、/var/www/html

    图5、作业系统比较

Bash练习

这边用VMware创一个kali环境去练习,也可以用下面文章提及的几个网站做线上练习

开始练习

  1. 进到一个环境要先确认自己在哪里
    pwd:当前资料夹的完整档案,/表示"根"目录,一切从根本开始

    图6、pwd指令

  2. 再问「我是谁」
    whoami:当前使用者名称,这里使用者叫kali

    图7、whoami指令

  3. 继续问「这里有什麽」
    ls:列出当前资料夹有哪些档案

    图8、ls指令

ls -a:列出当前资料夹所有档案,包含隐藏档案,一个点代表当前资料夹,两个点表示上一层资料夹

图9、ls -a指令

ls -l:列出当前资料夹档案详细资料,包含权限拥有者及群组等

图10、ls -l指令

help指令:查询指令如何使用,用法为"指令 --help"

图11、help指令

man 指令:可以看到这个指令的系统说明文件(man page,manual page简称),用法为"man 指令"

图12、man 指令

图13、man 指令

  1. 看历史纪录(下那些指令)
    history:可以看历史纪录

    图14、history 指令

cat:查看档案内容,用法为"cat 档案名称",~表示home目录
cat ~/.bash_history:查看home目录底下的.bash_history档案,该档案会储存上一次登出前使用的指令内容

图15、cat 指令

⬆:按上箭头可以查看上一个指令,下箭头则是下一个指令

5.cd:切换目录,用法为"cd 路径"

图16、cd 指令

6.find 寻找指定档案,这边找test.txt,会发现很多权限不足"Permission denied"

图17、find 指令

图18、find 指令

7.Linux将标准输出、输入分为三种,那"Permission denied"就是标准错误输出

图19、标准输出入

/dev/null:Linux黑洞,把资讯丢进去,不会在出来,可将刚刚错误讯息丢进去

图20、标准输出入

8.apt 管理套件:当缺乏某个套件时,可用apt install <套件名称>来安装,建议在使用指令前使用apt update更新列表,不然可能会安装到旧版的

图21、apt 指令

比方说看到一个压缩档案.zip,为了要解压缩,运用apt指令安装zip套件,但一下发现权限不足,他要用root

图22、apt 指令

而root就是linux里管理者帐号,我们一般只是使用者帐号,没管理者权限,很多事情不方便,此时可以用sudo。

9.sudo:可以让一般使用者,执行指令时,拥有管理者权限。

图23、sudo 指令

图24、sudo 指令

10.说说权限
用ls -l时可以看到权限设置,画面中最前面英文数字,共可分成1,2,3,三段分别描述owner(使用者),group(群组里的帐号),other(前面都不是的人)的权限。
其中r表示read,w表示修改,x表示执行,没有该权限,即不能做那个事情

图25、说说权限

11.su指令:可以让一般的 Linux 使用者取得 root 权限

图26、su 指令


<<:  Hugo article 代码块中有hugo关键字如何处理。

>>:  防火墙只允许 anydesk 通过

Day 7. Compare × G2 × Draft

接下来的 Draft 与 Slate 就是提供建立编辑器环境为主的 Framework Libra...

# Day30--Push?Pull?跟GitHub好好沟通沟通

Yo!这应该就是我的最後一篇的铁人文啦!撒花 其实Git真的很多东西可以说,一下子要讲一些细节的操作...

Day16 开发套件 - 实作EventChannel

使用上跟MethodChannel类似,EventChannel即为MethodChannel与St...

30天程序语言研究

今天是30天程序语言研究的第三十天,由於最近写unix语言的东西用到很多,所以做了很多笔记,就想说也...

Day 05 关键字比对,让你花钱不浪费

我们想像今天有个消费者想要搜寻「五倍红宝石」,却只用了「红宝石」这个关键字,他可能会搜出一堆「红宝石...