From c62e552008a151e5176874ee33a78334592a9850 Mon Sep 17 00:00:00 2001
From: Phantom0307 <phantom0307@sina.com>
Date: Tue, 23 Jan 2018 15:46:21 +0800
Subject: [PATCH] update 2.12 && 1.4.4

---
 doc/1.4.4_webserver_basic.md | 168 +++++++++++++++++++++++++++++++++++
 doc/2.12_burpsuite.md        |  20 ++++-
 pic/1.4.4_short_filename.png | Bin 0 -> 1771 bytes
 3 files changed, 187 insertions(+), 1 deletion(-)
 create mode 100644 pic/1.4.4_short_filename.png

diff --git a/doc/1.4.4_webserver_basic.md b/doc/1.4.4_webserver_basic.md
index 5abb7bc..6290416 100644
--- a/doc/1.4.4_webserver_basic.md
+++ b/doc/1.4.4_webserver_basic.md
@@ -3,6 +3,7 @@
 - [Apache HTTP Server](#apache-http-server)
 - [Nginx](#nginx)
 - [IIS](#iis)
+- [如何获取 Web 服务指纹](#如何获取-web-服务指纹)
 
 由于涉及到 Web 服务器和应用服务器的差别问题，这里着重介绍三款使用广泛的 Web 服务器。
 
@@ -10,7 +11,174 @@
 
 ## Apache HTTP Server
 
+Apache HTTP Server 以稳定、安全以及对 PHP 的高效支持而被广泛用于 PHP 语言中，WAMP 或者 LAMP 就是它们组合的简称，即 Windows 或者 Linux 下的 Apache2+Mysql+PHP。
+
+#### 安装
+
+Windows 下推荐直接[安装](http://www.wampserver.com/en/) WAMP 环境
+
+Ubuntu 下可以依次使用命令安装，需要注意的是不同的系统版本对 PHP 的支持情况不同，这里以 ubuntu 16.04 为例。
+
+```
+sudo apt-get install apache2
+sudo apt-get install mysql-server mysql-client
+sudo apt-get install php7.0
+sudo apt-get install libapache2-mod-php7.0
+sudo apt-get install php7.0-mysql
+service apache2 restart
+service mysql restart
+```
+
+#### 组件
+
+Apache 服务器拥有强大的组件系统，这些组件补充了包括认证、日志记录、命令交互、语言支持等复杂功能，同样在 Apache 的发展过程中，许多组件都出现过漏洞，包括资源溢出、拒绝服务、远程命令执行等。
+
+关于 Apache 的组件历史漏洞可以在 [https://www.exploit-db.com](https://www.exploit-db.com) 中进行查看
+
+#### 文件后缀解析特性
+
+Apache 支持多后缀解析，对文件的后缀解析采用从右向左的顺序，如果遇到无法识别的后缀名就会依次遍历剩下的后缀名。
+
+同时，还可以在配置文件如下选项中增加其他后缀名
+
+```
+<IfModule mime_module> 
+```
+
+更多的后缀名支持可以查看 mime.type 文件
+
+
+
 ## Nginx
 
+Nginx 的特点在于它的负载均衡和反向代理功能，在访问规模庞大的站点上通常使用 Nginx 作为服务器。同样，Nginx 也和 Mysql、PHP 一同构成了 WNMP 和 LNMP 环境。和 Apache 默认将 PHP 作为模块加载不同的是，Nginx 通过 CGI 来调用 PHP。
+
+#### 安装
+
+Windows，由于没有官方网站的 WNMP，大家可以选择 Github 上的 WNMP 项目或者其他用户打包好的安装环境进行安装
+
+Ubuntu，这里以 FPM 配置为例
+
+```
+sudo apt-get install nginx
+sudo apt-get install php7.0
+sudo apt-get install php7.0-fpm
+打开 vim /etc/nginx/sites-available/default
+修改配置
+server {
+......
+......
+   location ~ \.php$ {
+       include snippets/fastcgi-php.conf;
+       fastcgi_pass unix:/run/php/php7.0-fpm.sock; 
+   }
+
+......
+......
+} 
+service nginx restart
+sudo apt-get install mysql-server php7.0-mysql
+sudo apt-get install mysql-client
+```
+
+#### 文件后缀解析特性
+
+由于 Nginx 对 CGI 的使用更加广泛，所以 PHP 在 CGI 的一些解析特性放到 Nginx 这里来讲解，PHP 具有对文件路径进行修正的特性，使用如下配置参数
+
+```
+cgi.fix_pathinfo = 1
+```
+
+当使用如下的 URL 来访问一个存在的 1.jpg 资源时，Nginx 认为这是一个 PHP 资源，于是会将该资源交给 PHP 来处理，而 PHP 此时会发现 1.php 不存在，通过修正路径，PHP 会将存在的 1.jpg 作为 PHP 来执行。
+
+```
+http://xxx/xxx/1.jpg/1.php 
+```
+
+相似的绕过方式还有以下几种方式：
+
+```
+http://xxx/xxx/1.jpg%00.php 
+http://xxx/xxx/1.jpg \0.php
+```
+
+但是，新版本的 PHP 引入了新的配置项 “security.limit_extensions” 来限制可执行的文件后缀，以此来弥补 CGI 文件后缀解析的不足。
+
+
 ## IIS
 
+IIS 被广泛内置于 Windows 的多个操作系统中，只需要在控制面板中的 Windows 服务下打开 IIS 服务，即可进行配置操作。作为微软的 Web 服务器，它对 .net 的程序应用支持最好，同时也支持以 CGI 的方式加载其他语言。
+
+#### 安装
+
+IIS 通常只能运行在 Windows 系统上，以 Windows 10 为例，打开控制面板，依次选择程序-启用或关闭 Windows 功能，勾选打开 Internet Information Services 服务。
+
+启动成功后，在 “此电脑” 选项上点击右键，打开 “管理” 选项，选择 “服务和应用程序” 即可看到 IIS 的相关配置。
+
+
+#### IIS 解析特性
+
+- IIS 短文件名
+
+为了兼容 16 位 MS-DOS 程序， Windows 会为文件名较长的文件生成对应的短文件名，如下所示：
+
+![](../pic/1.4.4_short_filename.png)
+
+利用这种文件机制，我们可以在 IIS 和 .net 环境下进行短文件名爆破。
+
+
+
+- IIS 6.0 解析特性
+
+IIS 6.0 解析文件时会忽略分号后的字符串，因此
+
+```
+1.asp;2.jpg 将会被解析为
+1.asp
+```
+
+- IIS 也存在类似于 Nginx 的 CGI 解析特性
+
+## 如何获取 Web 服务指纹
+
+比赛中的信息获取往往十分重要，确定 Web 服务器指纹对于下一步的对策很重要。
+
+#### HTTP 头识别
+
+许多 Web 服务器都会在返回给用户的 HTTP 头中告知自己的服务器名称和版本。举例列出一些真实存在的包含服务器信息的 HTTP 头
+
+```
+Server: nginx
+Server: Tengine
+Server: openresty/1.11.2.4
+Server: Microsoft-IIS/8.0
+Server: Apache/2.4.26 (Unix) OpenSSL/1.0.2l PHP/5.6.31 mod_perl/2.0.8-dev Perl/v5.16.3
+X-Powered-By: PHP/5.5.25
+X-Powered-By: ASP.NET
+```
+
+#### 文件扩展名
+
+URL 中使用的文件扩展名也能够揭示相关的服务平台和编程语言
+
+```
+asp, Microsoft Active Server Pages
+aspx, Microsoft ASP.NET
+jsp, Java Server Pages
+php, PHP
+```
+
+#### 目录名称
+
+一些子目录名称也常常表示应用程序所使用的相关技术
+
+#### 会话令牌
+
+许多服务会默认生成会话令牌，通过读取 cookie 中的会话令牌可以判断所使用的技术
+
+```
+JSESSIONID, JAVA
+ASPSESSIONID, IIS
+ASP.NET_SessionId, ASP.NET
+PHPSESSID, PHP
+```
\ No newline at end of file
diff --git a/doc/2.12_burpsuite.md b/doc/2.12_burpsuite.md
index 8a98d91..5ad428c 100644
--- a/doc/2.12_burpsuite.md
+++ b/doc/2.12_burpsuite.md
@@ -26,11 +26,29 @@ Burp 使用的第一步是实现浏览器到 Burp 的代理，以 Firefox 为例
 
 在 Burp 的 proxy 下的 options 中查看代理监听是否开启，默认监听 127.0.0.1:8080
 
-在 Firefox 的代理状态下，访问 HTTP 协议的网页即可在Burp中截获交互的报文
+在 Firefox 的代理状态下，访问 HTTP 协议的网页即可在Burp中截获交互的报文，可以使用Firefox插件-Toggle Proxy来快速切换代理模式。
 
 #### HTTPS 下的 proxy（老版本 Burp ）
 新版 Burp（1.7.30）已经不需要单独导入证书即可抓包，而老版 Burp Https 协议需要浏览器导入 Burp 证书才可正常抓包，具体操作见参考文档。
 
+#### intruder
+
+intruder 常用于口令爆破，当然作为支持批量可编程的网页重发器，它还有许多有趣的玩法。
+
+使用步骤：
+
+1. 在 proxy 页面拦截口令登录请求包
+2. 在 http 报文显示栏点击右键，选择 “Send to Intruder”
+3. 进入 intruder 选项栏，选择子选项栏 Positions，点击右边栏的 “Clear” 清空智能识别的占位符
+4. 重新选中需要爆破的部分，点击右边栏的 “Add” 添加新的占位符
+5. 选择子选项栏 “Payloads”，添加爆破口令模式以及爆破文件
+6. 在子选项栏 “Options” 中可以添加更加复杂的爆破结果匹配模式
+7. 选择完成后，点击右上角的 “Start attack” 开始爆破
+
+#### repeater
+
+repeater 用于单一报文的重复发包测试，在 proxy 界面报文包只能发送一次，通过右键 “Send to Repeater” 可以在 repeater 界面反复发包测试。
+
 
 ## 参考资料
 - [新手教程](http://www.freebuf.com/articles/web/100377.html)
diff --git a/pic/1.4.4_short_filename.png b/pic/1.4.4_short_filename.png
new file mode 100644
index 0000000000000000000000000000000000000000..512ff9ed9955b09e8a62aad15894cb5734f1b380
GIT binary patch
literal 1771
zcmds%=~EMC5XN6nv>=LCMMH(5EtIw*AZja4h*%_YXym9s1VT_i2^a+olt6;kf*_FL
zC?W_!0g)@=Fa#PB7!dI!oC#-;Mxhu&z>vh;jh*QSKh!^<U*6f7clVjy*?oQ)r%u8*
z8bOQz02|$pyZQj2uhPZP&(`VQ!8j%zfOXC8t}cFwcZAcE7c1<y8w^-K(`sYg{K8yq
zlY4L=vLStN|Kq+RkmmO7<}escWC1{^2fHOwC$JO#YCTBJFw{xfJ6zR$SX(cz0bP&Q
z5&$SF>M{Xf+qU<5AT&%L27s5>Cz8i7@_98u`^(BoqDp=!dZr|zbgwjtg7px*r%B?T
z6VGK0$!!8<@OkuzQtU41pojzBF>;ZtJc(J3A-MDnJEmxSgEtz#=X~!qUkc%c(}@p-
zJxKU`=V{6uPL5w3xlSd8u*{{`WIU~}9xNyUJsFZ+M>Peh1^zMVobr@&Sv)>>bytcX
zovWDK@Bk_xH>}zyhge?t)o6CLKp$jD>kox}!AQPWNxZP^Wxyz0IV&NVJBY$p-?u9w
z?T8t5K|cKBFmMS@)SRb(9Wa_kDaPD|XQ6yy^p?vJ%RzmJ;5Z(HN8MUacRqx$5;YB&
zfT@?-E)*mUBOINsI}oLsP}GzsxQ$IRaKzW)e*Q+vn+S@y*zsroGY9}2I<I!lDgN4F
z3zwdGEV>*q`!+Tb#HN_~2WuRUYI93{K<f8NX_nSIAaGu0bET%bo6x3${}gXm(Px*U
zWuJy9;J?M9$yiS85xrC~l$UFpxU}_75b%_kOvYN)hO2_q969ztk}6M<Z>IHd<E6vu
zcPV$VPAu*X1yeoEZ*Wg^XJajSfzStF>i19Vw~6}>vE(eOGWj!eTFjC-OB?uH4z-<x
zN8rUXVrO{;kBor)VxgJZ?;m2P8;n@?kYReSTN*HsX;2-cF1k|8S-}X>X*vDGhM<?i
zce1e>LzD$G8M<g7Vrr}P32jT=txSkNN>}_Xbz)P4i}J}%W*>FIQSsm+Rbq<YI=9D?
z_CH-;;o<Uu*e<=)6?4&(9Zm^`C-<gSDbi!wH;?WkPzVAQ9RejhRXoimT74zzvEXE>
zjc2TJrj0{5&`*oLy*p12q`E`J`8xk5Sbf5-i!@a}gN<MKwJl86fn}0XJ~#@q#ODq3
zRI(0)=7B6-#NoT7G$4AMTbQo{HwiG%)|8sd9%a5;`b~jYDXyGm+GR9CrN{D;^v~A*
zrzxH1{1oy%HCqG;Z=`-*{m_oak=FiPHUUEfIhdDz%zc3pD<~e7$XpXv8$w#a+=oFL
zF>_UYikr|09)C$*SwZftI6M_e$Mz~@M#>tln`Hf~wz});-ns}r+35<oq-JP%ysEk%
z(?=SGDW79ky{}YD<ptQOCSw?^i3}&OdP*~S<OPnWISs?5q;RAKW8<?^Rb&CCT|+Aj
z(bg3hvr03@;_nW9elSWkbiv~m+Vyx&cIm{^1@BHAWb8Y2a^Y$xpIwE7ow1#ynDdEI
z&JT4;YKpMo04ZY9hdOb)mPWV7*xxw8jnkRDNh&ne@KmH`dYN06-Qw^)?!1^Hj5H$Y
zXHOhF&!q%2q%2OfD#KWc-$-0I(%?As2REKG*mO96h|W>P_BX2TP~XTR7fRj|CDN8?
z7-Kf@hPUKH^TA5Bs@;?QrH%o%i=!U_z%o27d-gUGH>UR^VnK?>7Bh`c4|hK1?_OZ4
z^$|kwXdU7M2+(&w27!eSa?|EV2XP7V_IUYGv{o2j)7r>9r$N$DvmI5e@_z;`nULK#
z?49tXMZLX+OmeDR3qXD?%S4C$OBVmapM`vG;o`s>lvTH)1R|GuqG*PimlT;b?xeXP
zLHRoV5aY>+G4@}6ro&5C^V;r_?Cnw7Q&=^>yU;A`q0MfshmSa!9)1<71!#0xFtXUp
RMt8%&{n$xY%F)nke*+XWp5Xuh

literal 0
HcmV?d00001