更新系統
#apt-get install zsh //方法一
#apt-get update //方法二
#apt-get upgrade
#apt-get dist-upgrade
查看當前系統軟件包的狀態
#sudo dpkg --get-selections | more //查看當前系統軟件包的狀態
#sudo apt-mark hold metasploit-framework //給metasploit-framework鎖定當前版本不更新
#sudo dpkg --get-selections | grep hold //查看當前鎖定的軟件包
#sudo apt-mark hold metasploit-framework //取消軟件保留設置
kali系統更新後出現問題:
進入/usr/share/metasploit-framework目錄下使用命令
#gem install bundler
#gem update --system
然後成功啓動
SSH服務簡介
查看是否開啓服務
root@kali:/# service ssh status
配置流程:
1使用編輯器打開ssh配置
vim /etc/ssh/sshd_config
在文件找到並修改:
#PasswordAuthentication yes //去掉#
#PermitRootLogin prohibit-password //去掉#,並把prohibit-password換成yes
2使用命令行模式開啓SSH服務
#service ssh start
3查看服務開啓狀態
#service ssh status
4登錄測試
使用xshell、putty等工具測試
kali中包含可用於身體測試的各種工具。這些工具程序大體可以分爲以下幾類
- 信息收集:這類工具主要用來幫助我們收集目標的網站架構、網站腳本語言、網站信息泄露等。
- 漏洞評估:這類工具都可以掃描目標系統上的漏洞,掃描主機漏洞系統漏洞
- 漏洞利用:這類工具可以利用目標系統中發現的漏洞,讓我們針對性的去利用攻擊
- Web應用:與Web應用有關的工具,關於web方面的掃描器、爆破等工具
- 密碼攻擊:提供在線的密碼破解工具或者是離線的密碼破解工具給我們使用
- 信息收集:namp
- 漏洞分析:namp nikto
- web程序:burpsulte sqlmap
- 數據庫評估:ddqsql sqlmap mdb-sql SQLite-dat
- 密碼攻擊:hashcat
- 無線攻擊:
- 逆向工程:apktool
- 漏洞利用工具集:metasploit sqlmap
- 嗅探\欺騙:wireshark bdfproxy
- 權限維持:mimikatz weevely
shell與終端的區別
終端:接收用戶的輸入,並傳遞給shell程序,接收程序輸出並展示到屏幕
shell:接收並解析用戶的命令給操作系統執行,將結果輸出到終端
查看系統支持shell的類型
root@kali:/etc/ssh# cat /etc/shells
# /etc/shells: valid login shells
/bin/sh
/bin/bash
/usr/bin/bash
/bin/rbash
/usr/bin/rbash
/bin/dash
/usr/bin/dash
/bin/zsh
/usr/bin/zsh
/usr/bin/tmux
/usr/bin/screen
root@kali:/etc/ssh#
Web容器
Web容器是可以向發出請求的瀏覽器提供文檔的程序。
容器的主要功能是存儲、處理和傳遞網頁給客戶。客戶端和服務器之間的通信使用超文本傳輸進行。交付的頁面最常見的是HTML文檔,除了文本內容之外,還可能包含圖像、樣式表和腳本。
動態語言
常見服務器腳本
Asp、Aspx(windows)
PHP(windows linux macOS)
JSP(windows linux macOS)
python(windows linux macOS)
動態語言能做什麼
- 動態的向web頁面編輯、改變或添加任何的內容
- 對由HTML表單提交的用戶請求進行響應
- 訪問數據或數據庫並向瀏覽器返回結果
- 爲不同的用戶定製頁面
- 提高網絡安全性,使您的網頁代碼不會通過瀏覽器被查看到
常用web容器
IIS(windows)
Apache(全平臺)
Nginx(全平臺)