Web

burp suite

https://blog.csdn.net/LUOBIKUN/article/details/87457545; 安装软件还在download中; java安装:https://blog.csdn.net/weixin_39808420/article/details/90339528

burp suite常用的模块有:Proxy,Spider,Scanner[仅限专业版],Intruder,Repeater,Sequencer,Decoder,Comparer。

它们的作用是
Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许拦截,查看,修改在两个方向上的原始数据流
Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞
Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
Repeater——是一个靠手动操作来重发单独的HTTP 请求,并分析应用程序响应的工具。
Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具
Decoder——是一个进行手动执行或对应用程序数据智能解码编码的工具。
Comparer——是一个通过一些相关的请求和响应得到两项数据的一个可视化的“差异”的工具。

如果出现burpsuite没有成功拦截,那就应该是没有设置本地代理端口为8080!
image.png

有关burp的破解模式

image.png

Postman

用来模拟Get/Post请求报文。

如模拟Post请求:
image.png
注意:post请求中,入参有2种形式:key-value和json类型,接口返回的数据类型都是json串,即key-value。都可以实现,链接

Antsword——蚁剑

它可以来干嘛?
蚁剑是一款和菜刀相像的shell控制端软件。
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的

可以直接看到网页的所有东西了!
image.png

蚁剑源代码https://github.com/AntSwordProject
蚁剑加载器https://github.com/AntSwordProject/AntSword-Loader
安装教程:两个全部解压好(一个是源码,一个是启动文件/加载器)
安装教程:https://www.cnblogs.com/liang-chen/p/14181806.html