kali下一些代理工具的簡單描述

時間 2020-06-22

標籤 kali 一些代理工具簡單描述简体版

原文原文鏈接

最近幾天瞭解了kali中一些代理工具的基本使用，作一個小小的總結，kali操做系統的官網爲 www.kali.org,感興趣的能夠去官網下載鏡像，如何安裝這裏就不在講解了，百度有不少教程。新手這裏推薦直接在官網下載虛擬機版本的，這樣就省去了安裝配置。虛擬機能夠直接打開。web

Mitmproxy

首先須要手動配置一下瀏覽器代理，點擊右上角，再點擊設置，以下圖

接下來滑到最下面，點擊網絡配置，選擇手動，地址填本地，端口本身設置，我這裏設置爲8889。

而後打開終端，切換爲管理員，輸入 Mitmproxy -p 8889 ,啓動並監聽8889端口，這個端口是本身設置的，也就是瀏覽器配置的端口。

由於是命令行操做，因此一些常見的快捷鍵要記住，比較重要的兩個是？和：？是進入help界面，：是進入命令輸入模式。我把一些經常使用的快捷鍵命令總結以下。須要注意的一點是，區分大小寫。
q 退出（至關於返回鍵，可一級一級返回）
d 刪除當前（黃色雙箭頭）指向的連接
D 恢復剛纔刪除的請求
G 跳到最新一個請求
g 跳到第一個請求
C 清空控制檯（C是大寫）
i 可輸入須要攔截的文件或者域名（起到過濾做用）
a 放行請求
A 放行全部請求
? 查看界面幫助信息
^ v 上下箭頭移動光標
enter 查看光標所在列的內容
tab 分別查看 Request 和 Response 的詳細信息
/ 搜索body裏的內容
esc 退出編輯
e 進入編輯模式
下面以百度爲例。進入瀏覽器，輸入百度網站，咱們發現抓取到的以下圖。

咱們發現抓取到的很是多，該如何快速選擇出咱們須要的URL呢，咱們只須要按下f快捷鍵，而後後面輸入關鍵詞，好比我想選news的相關內容，以下圖就能夠了。

回車發現剩下的URL都包含news

若是想要查看請求頭和返回頭，看哪一個點哪一個便可，以下圖

關於Mitmproxy就介紹這麼多，它的功能遠比我介紹的要豐富的多，好比能夠本身編寫自動化腳本等等，這裏就不在多說了，感興趣的小夥伴能夠本身去研究研究。瀏覽器

Owasp-zap

Owasp-zap不是一個專門的代理工具，它是以代理爲基礎功能，在這個基礎上進行被動處理。自動處理，暴力破解，蜘蛛爬行等功能的滲透測試工具。新版的kali沒有內置，須要下載安裝一下，輸入以下命令。
apt-get install zaproxy
結果以下圖，安裝成功。

下面咱們打開軟件，配置一下代理，和上一個大同小異。以下圖

這裏須要注意的一點是，若是想要抓取https的數據包，須要導入證書。先把證書保存到本地，以下圖

而後打開瀏覽器，進入設置，導入證書便可。

下面隨便輸入一個網址就能夠抓包了，這裏以博客園爲例，以下圖

發現有不少戰站點信息，能夠做爲前期滲透測試的信息收集。關於Owasp-zap就介紹這麼多，感興趣的小夥伴能夠研究研究。網絡

Burp suite

burpsuite能夠說是一款滲透測試神器了，代理只是它的一個功能，它是用於攻擊web應用程序的一個集成平臺。kali中默認安裝的爲社區版，能夠選擇在本機安裝破解版，功能更加齊全，有經濟能力的，能夠去官網購買正版。這裏用kali內置的社區版演示。首先，須要先配置代理，burp默認代理端口爲8080，以下圖。

配置好之後點擊proxy，抓取到數據包以下圖

還有一些其餘的功能，這裏簡單的介紹一下工具

Target(目標模塊):

包含了SiteMap和scope兩個選項卡，SiteMap會在目標中以樹形和表形式顯示，而且還能夠查看完整的請求和響應。scope主要配合SiteMap作一些過濾功能。
測試

Intruder(入侵模塊):

這個功能比較強大，能夠用來暴力破解，暴力猜解目錄，或者帳號名和密碼，支持四種暴力破解方式，以下圖

說一說它們的區別。
1，Sniper（狙擊手）：設置一個參數的話，例如字典是5個密碼，就執行5次，若是設置兩個參數就執行10次，第一個參數由第一個開始依次排列，可能有點抽象，一看圖就明白了。

通常第一種爆破模式是用來猜解網站目錄的。
2，Battering ram（攻城錘）：一個參數的話和Sniper同樣，兩個參數就一塊兒爆破。五個密碼爆破的話，也就爆破5次。如圖。

3，Pitchfork（草叉模式）：這個必須兩個參數，兩個密碼字典，例如第一個字點爲1，5。第二個字典爲3，9。那麼爆破的兩個結果爲1，3和5，9。下圖中的兩個字典爲1_5和610。

4，Cluster bomb（集束炸彈）：這個是最狠的，也是兩個參數，例如，我第一個字典爲1，2，3。第二個字典爲4，5，6。那麼它爆破的結果爲：1，4。1，5。1，6。2，4。2，5....依次往下。以下圖。
網站