寫在前面

前面的文章是我在2024農曆年前後所做的練習大約花了兩週時間，但半年前使用的靶機已經淘汰所以另外挑選了現役兩台示範。小結一下，開始入坑之後便找了HTB這個平台進行練習，在HTB LAB從Starting Point 4台到Machines 2台，參考網路上找到的解法挑選比較看得懂的然後開始實作，經過6台靶機的練習漸漸產出屬於自己的解題SOP。

關於SOP這有一點要注意，因為是每天階段式的新增修改SOP，所以到了這篇文章最完整的應該要參考Day 9，若是想要知道如何產出的則可以從Day 1開始重刷一遍。

3/18 攻防演練分享研討會

到3/18之前的時間我還是在HTB上面找靶機練習，不過簡單地做完了即使有偷看答案中等難度的靶機還是大約一週一台的進度進行。另外就是偶而去逛一下Hitcon，這個網站我後面會再花一篇時間進行介紹。

接下來的內容3/18, 4/9, 4/10研討會內容，Hitcon介紹，暑假培訓課程前測解題，培訓課程內容簡介。我會依照這樣的規劃完成剩下21天挑戰，並且課程相關的內容會遮密關鍵字以免產生智慧財產權疑問，下面的篇幅我會開始節錄部分上課的重點進行介紹。

研討會課程大綱

1. 攻防演練發現
2. 網站架構與基礎簡介
3. 網站應用程式常見弱點原理介紹及案例分享
4. 網站應用程式常見弱點原理解說及實作練習

1. 攻防演練發現

• 漏洞統計資訊
• 弱點嚴重性
• 發現案例

2. 網站架構與基礎簡介

• HTTP Request 基礎介紹
  • GET
    ◼請求展示指定資源。
    ◼應用於取得資料。
  • POST
    ◼提交指定資源的實體，通常會改變伺服器的狀態 (Create/Update)
  • PUT
    ◼通常依據Payload更新(Update)資源
  • DELETE
    ◼刪除指定資源
• 網頁應用程式基礎介紹
  
  • CyberChef Encoding and decoding tool
• Web Proxy
  • Burp Suite 可攔截HTTP Request/Response
  • OWASP ZAP 可攔截及修改 HTTP Request/Response後送
• 前端驗證機制繞過
  • F12
    

3. 網站應用程式常見弱點原理介紹及案例分享

• 常見弱點原理介紹
  • Persistent XSS
    ◦ XSS語法會被保存在資料庫中
  • Non-Persistent XSS
    ◦ XSS語法不會被保存
    ◦ 輸入會反映在畫面上
  • Stored XSS (儲存型)
    ◦ 程式碼於執行前，先被儲存於系統之資料庫中
    ◦ Server-Side injection (後端Render)
    ◦ 如新增惡意語法如網站留言版
  • Reflected XSS (反射型)
    ◦ 非儲存於資料庫，會由伺服器渲染後(Render)，立即將結果反映回使用者端
    ◦ Server-Side injection (後端Render)
  • DOM-based XSS (DOM型)
    ◦ 使用DOM API 更改網頁內容
    ◦ Client-side injection (前端Render)
• 防護參考 (Mitigation)
  • 最小權限原則 (Least Privileges )
  • 預設Deny
  • 驗證使用者請求 (Validate the Permissions on Every Request)

4. 網站應用程式常見弱點原理解說及實作練習

• 網站情蒐
  • 小工具
    • Wappalyzer: 從ithelp的網頁畫面可以直接看到套件和版本訊息。
      
    • dotgit: 這不知道那個網頁留下的紀錄，可以直接按下載找conf。
      
    • git-dumper: 這是是用指令"git-dumper http://website.com/.git ~/website"
• 網站列舉工具
  • 尋找隱藏之檔案、目錄或參數
    • tree -d /usr/share/seclists
    • gobuster dir -u http://127.0.0.1:8000 -w /usr/share/seclists/Discovery/Web- Content/directory-list-2.3-small.txt -x .php
    • sudo apt install seclists
    • dirsearch -u http://127.0.0.1:8000
    • ffuf -c -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://x.x.x.x/FUZZ -fc 403 -e .ph
• 常見弱點原理解說及實作練習
  • XSS基礎

      -	<script>alert(1)</script>
      -	<script>alert(document.cookie)</script>
      -	<script>alert(document.domain)</script>
      -	<img src=x onerror=alert(1)>
      -	<svg/onload=alert(1)>
  

  • SQL injection
    • SELECT user, pass FROM members WHERE user= 'any' or 1=1-- -' AND pass='1234'
    • SELECT user,pass FROM members WHERE user='any' AND pass='' or 1=1-- -'
  • 指令
    • $bash: 啟動一個新的 Bash shell 會話。
    • tree -d: 用於展示文件夾結構的直觀方式，使用者可以快速獲得目錄層次的視覺理解。

結論

前面有點越級打怪的意思從0開始的小白直接挑戰HTB，從照著抄都不知道怎麼下手整理出自己的一套SOP，雖然每台靶機都有不同的個性但是作為起手式我覺得足夠了。從模仿中學習其實是我工作以來的縮影，沒事就會把我叫去指導一下的除了當年在和平醫院後面那間資訊組的楊學長，再來的技術幾乎都是我偷學來的。後來還是有遇到不錯的前輩願意回答問題，但我常常連問題都提不出來，我漸漸培養出沒事就上網到處爬文相同的問題多看看幾種不同的回答，HTB靶機我也是會同時參考很多份貼文每種方法只要看得懂就都去試試看。只經過一個半月的練習到3/19這場感想是太入門了，上午有許多的學科知識但到了下午感覺只是去練打字。

3/19這場研討會講師很認真，246頁投影片上午很快的帶過下午開始實作。當然還是有些收穫的，許多名詞我並不熟悉，瀏覽器可以開外掛找漏洞我並沒有想過，有點類似whatweb這個套件也不是說非得有它但可以多一個管道找到些資訊。

後面寫到4月的研討會，連續兩日課程許多觀念說明的比較祥細我再來好好說明。