【工欲善其事,必先利其器(3)】--论工具
本帖最后由 Hello. 于 2020-4-28 16:19 编辑前两期得到了热烈的反响,我决定把这个系列继续做下去(这个主题一定会被审核吧)
软件篇:传送门
插件篇:传送门
这周有点忙啊,周末两天也没歇着,原本想做的整理的还不太全面,所以,这次我决定同大家聊一聊
声明:由于常规的工具软件不太好解说,本文可能使用较多的安全工具来进行分析(你们能看懂的)
static/image/hrline/1.gif
static/image/hrline/1.gif
一、初步学习
大家都是跟着甲鱼老师学的吧,在跟着学习时,你是否理解了每一个知识点?小鱼老师每次讲完课的练习题你是否认真完成?完成后你有没有自己再去设计程序?
那么,我们在学习了一些编程知识、工具使用之后,就完事大吉了吗?
当然不是,光听是没有用的,这是小孩子都懂的道理。这样不仅无法深入理解这些知识,更容易随着时间推移快速忘却,学习之路原地踏步。我们该怎么办?
最好的状态是,学习任何一个知识、都能快速的设计出一个程序,做到“快”“准”。
一定要马上动手实践,不要说看完感叹几句“嗯嗯,说得好”、“感谢分享”、“楼主真厉害”就完事,学习是积累的过程,要在不断的动手中进步。
我来举几个例子
比如你想学习Python,那你就一定要了解Python是什么样的语言、在哪里适用、学会编写简单的Py程序
再比如你就想研究web安全,那么linux、网络原理、数据库,基本定义、专业术语等等 这些基础你必须要弄懂学熟。
总结:多动手实践、打好基础、对自己的要学的知识充分了解
二、工具的使用
工具很重要,工具可以让我们简单、快速、容易地开发(加了插件更是飞跃),或者叫更加便捷地测试
一个好的web安全攻城狮,会使用大量的工具并通过攻击实践来学习原理。
但是我很不建议初学者弄太多工具,你的技术没到达那个水平很浪费时间,学习工具对你来说不应该是首位
例如,初学者一般都是先用idle来写py,你就不信邪,非要上来就用pycharm啊、vscode啊,到最后,不是因为不会使用工具失去兴趣,就是因为过度研究工具疏忽了知识的学习
像vim那样的工具你实在不理解就不要再花时间和深入研究了,做个简单了解就好了
再拿sql注入来说,像明小子、啊D注入这些有时代感的工具,建议不要再研究了,这些工具不是不好,而是过时了(包括VC++,别再用了)
当然,经典永远不会被时间的潮水所冲退,比如“中国菜刀”(信仰)。
那我们现在更应该多花时间研究sqlmap,甚至针对特定场景给sqlmap写插件,
因为和同类工具相比sqlmap功能强大,基本覆盖了啊D注入等工具的功能社区支持,定期更新、扩展性强,支持自行编写插件、平台移植等特点
总结:对于工具的使用,自己的心里应该有个度,不要花过多的时间学习工具的使用
三、工具的重要性
工具很重要,就像题目说的一样“工欲善其事 必先利其器”。好的工具是利器。但当你开始熟练的使用工具后,它会变得不那么重要
因为组合工具和学会自己针对需求开发满足需要的工具更重要
所有自动安全检测、黑客工具,真的都只能算作工具,难道你认为给猫扔一把枪它会使用吗?
工具是“工作时所需要的器具”,而使用工具的人才是重点
我们不能只停留在工具层面,大部分正规网站都不会直接被工具发现到漏洞<要不然鱼C早就烂了>
如果漏洞能被工具直接扫描到,那我要你们这些攻城狮做什么?白挣钱?
工具的教程到处都是,多动手多实践,'学精'只是时间问题。重要的是,在一次次的攻击中积累经验,找到最适合自己的方式
一定要学会主动使用工具。甚至能动手写工具,不要当个单纯的“脚本小子”(不要让工具使用你)
总结:工具固然重要,但更重要的是你的技术以及积累的经验
四、合适的工具&经验
我们使用利器到底是为了什么?当然是为了“善事”。如果这个工具给我们增添了许多麻烦,我们要它的意义何在?
有人说,我就是用vim得劲;还有人说,我就喜欢pycharm;更会有人说,vs code才是信仰
有许多好用的工具供我们使用,但一定不要盲目跟风,一定要使用得心应手的工具,你让关公耍剑,绝对没有用青龙偃月刀合适
推荐只是推荐,是帮你初步筛选,最终挑选还是要你自己来
当你达到一定水平时,你会发现经验尤为重要,经验是能让你升级的,并且是无限制的升级,但工具却不能陪你一起升级,它是有限制的
你升到这个级别就到头了,这该怎么办?
你可以动手写插件来继续扩展这个工具,让它满足你特殊的需求,同时,在编写插件的过程,又进一步增加了你的经验
总结:当你技术可以时,找到最合适的“兵器”(动手写更厉害),在实战中不断积累经验
五、漫谈
每个人学习都会有瓶颈期,这个时候我们会感到迷茫,每天的进步微乎其微
请不要担心,刚接触编程的时候你不是啥也不懂吗?
什么是二进制?这环境变量怎么设置啊?正则表达式又是什么鬼?
通过一个月的学习,是不是豁然开朗?瓶颈期的时候一定要坚持住,不会就问,去看看大牛的源码,找到最适合自己的学习方式
就拿我个人举例子,刚接触C,各种闹心、几乎要丧失学习的兴趣。后来,我开始学习硬件、涉猎各种语言,既让自己快乐的学习,又学到了更多的知识
每个人都有自己的方式,不要盲目学习他人,也许我的多样学习不适合你,你可能专攻一门语言才会更好
一定要多看书,但我发现中国的书90%都是重样的,反反复复的论述同一个知识,真的好无聊(但有几本经典真的值得一看)
,
最好去读一读外国的原著,例如《C primer plus 6》这本书,刚开始读中文版的真的是晦涩难懂,当我大概了解了以后,去下载了英文PDF版的
我就感觉这是两本书,原著的语言真的是很有趣也易于理解(你不懂英文我有什么办法呢),并且国外的书都有自己的观点
每读完一本都会有新的收获。我现在正在读《Python 基础教程3》,给你们看一下
也不是很难理解吧...遇到个别生单词可以查一下
总结:找到最合适的学习方式,技术经验第一,工具第二
六、如何避免面向监狱编程
**** Hidden Message *****万物皆只因我一念花开
洪荒宇宙 千变万化
不外如是 不外如是
由我主宰 任我主宰
让一切都隐去 只留下了
那个不拘一格的自我
在 漫天狂风暴雨之中 不闪躲
我 带着还未结痂的伤口
在 失控边缘冲杀为 最终解脱
为了夺回失落的自由
也甘愿化身成为野兽
static/image/hrline/1.gif
static/image/hrline/1.gif
声明:原创作品,如有侵权,请联系删除;如有雷同,纯属巧合
转载请注明出处及作者
统计:
写作时间:2天
整理时间:1天
字数:9586 字节
作者:曦沐
如果喜欢,记得收藏+评分吖~谢{:10_297:}
如果有收获,别忘了评分{:10_281:}
赠人鱼币,手有鱼香~
不评个分再走嘛~{:10_281:} 评分说了两次哦
@zltzlt @冰河星云 @隔壁繁星吖 又@你了{:10_278:}@liuzhengyuan @weiter 乘号 发表于 2020-4-28 17:03
评分说了两次哦
@zltzlt @冰河星云 @隔壁繁星吖 又@你了@liuzhengyuan @weiter
???啥事? weiter 发表于 2020-4-28 17:05
???啥事?
啊让你来看看{:10_256:} Hello. 发表于 2020-4-28 15:46
赠人鱼币,手有鱼香~
不评个分再走嘛~
评分免了,我还在奔小康
但是专辑一下还是可以哒~{:10_256:} 乘号 发表于 2020-4-28 17:03
评分说了两次哦
@zltzlt @冰河星云 @隔壁繁星吖 又@你了@liuzhengyuan @weiter
谢谢@ 面向监狱编程……
{:10_285:} 乘号 发表于 2020-4-28 17:03
评分说了两次哦
@zltzlt @冰河星云 @隔壁繁星吖 又@你了@liuzhengyuan @weiter
{:10_281:} Hello. 发表于 2020-4-28 17:08
我还以为你不在线嘞 来啦 来了来了{:10_297:} 永恒的蓝色梦想 发表于 2020-4-28 18:02
来啦
恭喜升级{:10_298:} 刚开始读中文版的真的是晦涩难懂一开始我读的 Head First 的书,书是好书,翻译是真垃圾 永恒的蓝色梦想 发表于 2020-4-28 18:08
一开始我读的 Head First 的书,书是好书,翻译是真垃圾
我感觉读中文像是在读英文{:10_250:} 请寻找无备案的、带有非法信息的网站(为净网贡献自己的力量)难道是那种网站!{:10_256:} …… 永恒的蓝色梦想 发表于 2020-4-28 18:13
难道是那种网站!
钓.....钓鱼网站... 这是教……如何网网……网络攻击 {:10_247:} liuzhengyuan 发表于 2020-4-28 19:21
这是教……如何网网……网络攻击
{:10_277:}
我只说了工具...