学习黑客资产威胁分析贴
第一天作业:
完成作业奖励:
🎁 奖励 1 ── Week 2《Web 渗透手册》预览
| Day | 主题 | 关键目标 | 练手靶场 / 工具 |
|---|---|---|---|
| 1 | HTTP 基础 & Burp 入门 | 抓包、改包、重放 | PortSwigger Academy:“HTTP basics” |
| 2 | SQL 注入原理 | 手工注入 + sqlmap | DVWA → Security=Low / Medium |
| 3 | XSS & CSP 绕过 | 反射 / 存储 / DOM | OWASP Juice Shop:XSS challenges |
| 4 | 文件上传 & WebShell | 绕扩展、拿 shell | DVWA / 靶机 Hackable-Upload |
| 5 | 目录/子域爆破 | dirb、gobuster、OneForAll | 靶机“bWAPP” |
| 6 | 综合闯关 | Juice Shop 5-6 题 | 提交 write-up |
| 7 | 复盘 + 小测 | 10 题快答 & 总结 | — |
🎁 奖励 2 ── 迷你信息收集脚本片段
#!/usr/bin/env bash
# recon_quick.sh —— 3 步资产侦察(域名 → 子域 → 端口)
target=$1
echo "[+] 被动子域收集 (crt.sh)"
curl -s "https://crt.sh/?q=${target}&output=json" | jq -r '.[].name_value' | sort -u > sub.txtecho "[+] 端口探测 (nmap top 1000)"
nmap -iL sub.txt -T4 --top-ports 1000 -oG scan.gnmapecho "[+] 结果汇总"
grep "/open/" scan.gnmap | awk '{print $2,$3,$4,$5}' | column -t适合 Week 3 做“侦察报告”时快速产出素材。