Hello. 发表于 2020-4-28 15:39:59

【工欲善其事,必先利其器(3)】--论工具

本帖最后由 Hello. 于 2020-4-28 16:19 编辑

前两期得到了热烈的反响,我决定把这个系列继续做下去(这个主题一定会被审核吧)


软件篇:传送门
插件篇:传送门

这周有点忙啊,周末两天也没歇着,原本想做的整理的还不太全面,所以,这次我决定同大家聊一聊
声明:由于常规的工具软件不太好解说,本文可能使用较多的安全工具来进行分析(你们能看懂的)
static/image/hrline/1.gif

static/image/hrline/1.gif



一、初步学习


大家都是跟着甲鱼老师学的吧,在跟着学习时,你是否理解了每一个知识点?小鱼老师每次讲完课的练习题你是否认真完成?完成后你有没有自己再去设计程序?

那么,我们在学习了一些编程知识、工具使用之后,就完事大吉了吗?

当然不是,光听是没有用的,这是小孩子都懂的道理。这样不仅无法深入理解这些知识,更容易随着时间推移快速忘却,学习之路原地踏步。我们该怎么办?


最好的状态是,学习任何一个知识、都能快速的设计出一个程序,做到“快”“准”。


一定要马上动手实践,不要说看完感叹几句“嗯嗯,说得好”、“感谢分享”、“楼主真厉害”就完事,学习是积累的过程,要在不断的动手中进步。


我来举几个例子


比如你想学习Python,那你就一定要了解Python是什么样的语言、在哪里适用、学会编写简单的Py程序


再比如你就想研究web安全,那么linux、网络原理、数据库,基本定义、专业术语等等 这些基础你必须要弄懂学熟。

总结:多动手实践、打好基础、对自己的要学的知识充分了解



二、工具的使用


工具很重要,工具可以让我们简单、快速、容易地开发(加了插件更是飞跃),或者叫更加便捷地测试

一个好的web安全攻城狮,会使用大量的工具并通过攻击实践来学习原理。

但是我很不建议初学者弄太多工具,你的技术没到达那个水平很浪费时间,学习工具对你来说不应该是首位

例如,初学者一般都是先用idle来写py,你就不信邪,非要上来就用pycharm啊、vscode啊,到最后,不是因为不会使用工具失去兴趣,就是因为过度研究工具疏忽了知识的学习

像vim那样的工具你实在不理解就不要再花时间和深入研究了,做个简单了解就好了

再拿sql注入来说,像明小子、啊D注入这些有时代感的工具,建议不要再研究了,这些工具不是不好,而是过时了(包括VC++,别再用了)

当然,经典永远不会被时间的潮水所冲退,比如“中国菜刀”(信仰)。

那我们现在更应该多花时间研究sqlmap,甚至针对特定场景给sqlmap写插件,

因为和同类工具相比sqlmap功能强大,基本覆盖了啊D注入等工具的功能社区支持,定期更新、扩展性强,支持自行编写插件、平台移植等特点

总结:对于工具的使用,自己的心里应该有个度,不要花过多的时间学习工具的使用



三、工具的重要性


工具很重要,就像题目说的一样“工欲善其事 必先利其器”。好的工具是利器。但当你开始熟练的使用工具后,它会变得不那么重要

因为组合工具和学会自己针对需求开发满足需要的工具更重要

所有自动安全检测、黑客工具,真的都只能算作工具,难道你认为给猫扔一把枪它会使用吗?

工具是“工作时所需要的器具”,而使用工具的人才是重点

我们不能只停留在工具层面,大部分正规网站都不会直接被工具发现到漏洞<要不然鱼C早就烂了>

如果漏洞能被工具直接扫描到,那我要你们这些攻城狮做什么?白挣钱?

工具的教程到处都是,多动手多实践,'学精'只是时间问题。重要的是,在一次次的攻击中积累经验,找到最适合自己的方式

一定要学会主动使用工具。甚至能动手写工具,不要当个单纯的“脚本小子”(不要让工具使用你)

总结:工具固然重要,但更重要的是你的技术以及积累的经验



四、合适的工具&经验

我们使用利器到底是为了什么?当然是为了“善事”。如果这个工具给我们增添了许多麻烦,我们要它的意义何在?

有人说,我就是用vim得劲;还有人说,我就喜欢pycharm;更会有人说,vs code才是信仰

有许多好用的工具供我们使用,但一定不要盲目跟风,一定要使用得心应手的工具,你让关公耍剑,绝对没有用青龙偃月刀合适

推荐只是推荐,是帮你初步筛选,最终挑选还是要你自己来

当你达到一定水平时,你会发现经验尤为重要,经验是能让你升级的,并且是无限制的升级,但工具却不能陪你一起升级,它是有限制的

你升到这个级别就到头了,这该怎么办?

你可以动手写插件来继续扩展这个工具,让它满足你特殊的需求,同时,在编写插件的过程,又进一步增加了你的经验

总结:当你技术可以时,找到最合适的“兵器”(动手写更厉害),在实战中不断积累经验



五、漫谈


每个人学习都会有瓶颈期,这个时候我们会感到迷茫,每天的进步微乎其微

请不要担心,刚接触编程的时候你不是啥也不懂吗?
什么是二进制?这环境变量怎么设置啊?正则表达式又是什么鬼?


通过一个月的学习,是不是豁然开朗?瓶颈期的时候一定要坚持住,不会就问,去看看大牛的源码,找到最适合自己的学习方式

就拿我个人举例子,刚接触C,各种闹心、几乎要丧失学习的兴趣。后来,我开始学习硬件、涉猎各种语言,既让自己快乐的学习,又学到了更多的知识

每个人都有自己的方式,不要盲目学习他人,也许我的多样学习不适合你,你可能专攻一门语言才会更好

一定要多看书,但我发现中国的书90%都是重样的,反反复复的论述同一个知识,真的好无聊(但有几本经典真的值得一看)

最好去读一读外国的原著,例如《C primer plus 6》这本书,刚开始读中文版的真的是晦涩难懂,当我大概了解了以后,去下载了英文PDF版的

我就感觉这是两本书,原著的语言真的是很有趣也易于理解(你不懂英文我有什么办法呢),并且国外的书都有自己的观点

每读完一本都会有新的收获。我现在正在读《Python 基础教程3》,给你们看一下



也不是很难理解吧...遇到个别生单词可以查一下


总结:找到最合适的学习方式,技术经验第一,工具第二



六、如何避免面向监狱编程


**** Hidden Message *****万物皆只因我一念花开

洪荒宇宙 千变万化

不外如是 不外如是

由我主宰 任我主宰

让一切都隐去 只留下了

那个不拘一格的自我

在 漫天狂风暴雨之中 不闪躲

我 带着还未结痂的伤口

在 失控边缘冲杀为 最终解脱

为了夺回失落的自由

也甘愿化身成为野兽

static/image/hrline/1.gif


static/image/hrline/1.gif

声明:原创作品,如有侵权,请联系删除;如有雷同,纯属巧合

转载请注明出处及作者

统计:

写作时间:2天

整理时间:1天

字数:9586 字节

作者:曦沐


如果喜欢,记得收藏+评分吖~谢{:10_297:}


如果有收获,别忘了评分{:10_281:}








Hello. 发表于 2020-4-28 15:46:20

赠人鱼币,手有鱼香~
不评个分再走嘛~{:10_281:}

乘号 发表于 2020-4-28 17:03:57

评分说了两次哦
@zltzlt @冰河星云 @隔壁繁星吖 又@你了{:10_278:}@liuzhengyuan @weiter

weiter 发表于 2020-4-28 17:05:16

乘号 发表于 2020-4-28 17:03
评分说了两次哦
@zltzlt @冰河星云 @隔壁繁星吖 又@你了@liuzhengyuan @weiter

???啥事?

乘号 发表于 2020-4-28 17:05:46

weiter 发表于 2020-4-28 17:05
???啥事?

啊让你来看看{:10_256:}

weiter 发表于 2020-4-28 17:06:07

Hello. 发表于 2020-4-28 15:46
赠人鱼币,手有鱼香~
不评个分再走嘛~

评分免了,我还在奔小康
但是专辑一下还是可以哒~{:10_256:}

weiter 发表于 2020-4-28 17:06:44

乘号 发表于 2020-4-28 17:03
评分说了两次哦
@zltzlt @冰河星云 @隔壁繁星吖 又@你了@liuzhengyuan @weiter

谢谢@

weiter 发表于 2020-4-28 17:07:56

面向监狱编程……
{:10_285:}

Hello. 发表于 2020-4-28 17:08:49

乘号 发表于 2020-4-28 17:03
评分说了两次哦
@zltzlt @冰河星云 @隔壁繁星吖 又@你了@liuzhengyuan @weiter

{:10_281:}

乘号 发表于 2020-4-28 17:10:02

Hello. 发表于 2020-4-28 17:08


我还以为你不在线嘞

永恒的蓝色梦想 发表于 2020-4-28 18:02:37

来啦

老八秘制 发表于 2020-4-28 18:04:53

来了来了{:10_297:}

Hello. 发表于 2020-4-28 18:06:46

永恒的蓝色梦想 发表于 2020-4-28 18:02
来啦

恭喜升级{:10_298:}

永恒的蓝色梦想 发表于 2020-4-28 18:08:53

刚开始读中文版的真的是晦涩难懂一开始我读的 Head First 的书,书是好书,翻译是真垃圾

Hello. 发表于 2020-4-28 18:11:09

永恒的蓝色梦想 发表于 2020-4-28 18:08
一开始我读的 Head First 的书,书是好书,翻译是真垃圾

我感觉读中文像是在读英文{:10_250:}

永恒的蓝色梦想 发表于 2020-4-28 18:13:39

请寻找无备案的、带有非法信息的网站(为净网贡献自己的力量)难道是那种网站!{:10_256:}

_2_ 发表于 2020-4-28 18:15:58

……

Hello. 发表于 2020-4-28 18:21:58

永恒的蓝色梦想 发表于 2020-4-28 18:13
难道是那种网站!

钓.....钓鱼网站...

liuzhengyuan 发表于 2020-4-28 19:21:18

这是教……如何网网……网络攻击 {:10_247:}

Hello. 发表于 2020-4-28 19:22:53

liuzhengyuan 发表于 2020-4-28 19:21
这是教……如何网网……网络攻击

{:10_277:}
我只说了工具...
页: [1] 2 3 4 5
查看完整版本: 【工欲善其事,必先利其器(3)】--论工具