攻防世界---web基础

获取网页源码

ctrl+u 或者F12

robots协议

robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。学会查看robots.txt

查找index.php的备份文件

目标文件的备份通常是目标文件后加 .git .svn .swp .svn .~ .bak .bash_history。

简单的PHP代码知识

show_source，highlight_file_函数功能：将代码高亮输出,同时展示给前端
include （或 require）语句会获取指定文件中存在的所有文本/代码/标记，并复制到使用 include 语句的文件中。
$_GET 变量来收集表单数据了（请注意，表单域的名称会自动成为 $_GET 数组中的键）
HTML 表单并不传递整数、浮点数或者布尔值，它们只传递字符串。要想检测一个字符串是不是数字，可以使用 is_numeric() 函数。
is_numeric — 检测变量是否为数字或数字字符串，如果是则返回true。
exit() 函数输出一条消息，并退出当前脚本。

XFF和Referer

X-Forwarded-For:简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项

HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的

B/S架构破解

1.首先必须知道用户名
2.知道用户名的前提下利用Burp Suite破解web表单
3.将请求发送到Intuder
4.设置变量信息
4.设置Payload密码字典
开始爆破

一句话木马WebShell

什么是DOS命令？
针对磁盘操作系统的一些相应操作。打开DOS命令见面，win+R。
system()函数：发出一个DOS命令。
phpinfo：phpinfo是php内置的函数，用于以网页的形式输出 php的具体配置信息。
Linux操作命令：

• 文件操作命令：ls 显示文件目录
• cat命令主要用来查看文件内容，创建文件，文件合并，追加文件内容等功能。如：cat f1.txt，查看f1.txt文件的内容。

Ping命令的一些操作

Ping操作的原理：
客户端向服务器端发送一个ICMP一个数据包，服务器端接受ICMP数据包。成功接收并返回给客户端一些信息表示成功接通。
一些服务器端不为Web应用程序提供Ping功能，是为了防止服务器端被恶意攻击。
DOS中的Ping可以检查网络的连通性
find / -name “文件名”：可以查找文件的路径
cat 文件名：可以查看文件里的内容

localhost和127.0.0.1

localhost、127.0.0.1 和 本机IP之间的区别：
1、localhost等于127.0.0.1，不过localhost是域名，127.0.0.1是IP地址。
2、localhost和127.0.0.1不需要联网，都是本机访问。
2、本机IP需要联网，本机IP是本机或外部访问， 本机 IP 就是本机对外放开访问的IP地址，这个网址就是与物理网卡绑定的IP地址。
本机IP，我们可以理解为本机有三块网卡，一块网卡叫做loopback（虚拟网卡），一块叫做ethernet（有线网卡），一块叫做wlan（你的无线网卡）。