第九天

日报

2020.01.14

小雨

上午

• web安全

• 典型的web架构
  终端<->应用程序（web服务器）<->存储器（数据库服务器）
  web框架解读

• HTTP协议基础
  HTTP协议介绍：

  连接、方法（uri url）

• HTTP请求报文
  httponly

• HTTP响应报文

• 状态码

• HTTP中get和post主要的区别

• 抓包
  代理服务器
  安装BP
  安装教程：https://blog.****.net/LUOBIKUN/article/details/87457545

下午

• 安装phpstudy

• phpstudy后台漏洞复现
  打开burp和phpstudy
  
  

设置火狐浏览器的代理，然后输入12.0.0.1，抓包
发送到Repeater模块对报文进行修改
打开Decoder模块，输入要执行的命令，并输出为Base64编码，复制输出。
添加Accept-Charset命令，并把刚刚复制的编码赋值给它，注意Accept-Encoding：后面的空格要去掉
命令执行成功

• web漏洞测试工具
  antsword
  behinder

遇到的问题

• burp之前安装过，不过打开不了，猜测应该是JDK出现了问题，因为系统之前炸过一次，重新安装一遍就行能打开了。不过之后点那个run没有反应，气得我重启了下电脑，一下就好起来了。

• 装好bp之后抓包，发现乱码问题，在网上搜了解决方法。
  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YKbqds6G-1579004837694)(./02.png)]

• 做phpstudy漏洞复现时，用浏览器打开127.0.0.1，抓的包发现是www.baidu.com的包，问了璐哥之后，把不代理信息列表删除就可以了。还有不行的话就直接输自己主机的ip。