摘要:
web扫描工具大都支持两种模式:代理扫描和主动扫描 Nikto 扫描内容 扫描软件版本、存在安全隐患的文件、服务器配置漏洞、服务器配置漏洞、web应用安全隐患 常用命令 nikto list plugins 查看可用插件列表 nitko host [IP地址或域名] port[端口号(多个端口号之间 阅读全文
摘要:
环境配置 首先在网上下载 "kali的镜像" 以及 "Metasploaitable虚拟机" ,打开按照网上 "教程" 安装好kali虚拟机,另一边打开Metasploaitable虚拟机,进入输入初始账户msfadmin,初始密码msfadmin,两边都用ifconfig查看本机ip地址,确保处于 阅读全文
摘要:
本人按照这个教程配置remix本地环境。[https://cloud.tencent.com/developer/article/1374376] win+R打开管理员终端,在欲配置为本地目录的路径执行命令 ,在这之前,首先要确保电脑上的python环境是python2而不是python3 可能遇到 阅读全文
摘要:
实验九 Web安全基础 今天不多bb,打开webgoat就是干好吧 1.简单字符串sql注入 可以看到这个实验说明是 “下表允许用户查看其信用卡号码。尝试插入一个SQL字符串,以显示所有信用卡号码。” 下面已经显示了后台使用的sql语句是 既然我们的目的是要显示所有信用卡的记录,所以我们会想到让SE 阅读全文
摘要:
实验八 Web基础 1.安装apache 2.启动apache 3.使用 命令查看80端口是否被占用,如果已被占用,修改配置文件ports.conf中的内容以修改监听端口 4.重启apache 5.测试apache是否正常工作 浏览器打开 127.0.0.1:5222 可正常打开Apache介绍网页 阅读全文
摘要:
实验七 网络欺诈防范 1.简单应用SET工具建立冒名网站 检查80端口是否被占用 已经被其他进程占用则把他杀死 用vi打开/etc/apache2/ports.conf,查看配置文件中的监听端口是否为80,如果不是就改成80。 输入命令 开启Apache服务,接着打开一个新的终端窗口,输入 打开SE 阅读全文
摘要:
实验六 信息搜集与漏洞扫描 1. DNS IP注册信息的查询 首先试下查找学校官网的IP 方法一 使用whois+域名 失败了 方法二 nslookup法 还是失败了 方法三 直接ping法 等了很久都没反应,看来是失败了 方法四 netcraft提供的信息查询服务 查不到 使用http://www 阅读全文
摘要:
实验五 MSF基础应用 1.一个主动攻击实践,如ms17_010_eternalblue漏洞; 本次攻击目标是win7虚拟机 首先进行相应配置 然后点launch 就成功了 针对win7的漏洞还是相对较少的,而且大部分都不能用 2. 一个针对浏览器的攻击,MS10_002_aurora漏洞攻击 本次 阅读全文
摘要:
实验四 恶意代码分析 1.系统运行监控 实验步骤如下 1.使用批处理监控程序连接网络的状况 在C盘要目录下建一个文件c:\netstatlog.bat,内容如下: 创建计划任务 一段时间后,开始分析产生的数据,尴尬的是不太会用excel,于是先用python对数据进行处理再导入到excel中 就成了 阅读全文
摘要:
实验三 免杀原理与实践 1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil evasion,自己利用shellcode编程等免杀工具或技巧 实验步骤如下 1.先对实验二中生成的exe进行检测 65款杀毒软件有36款认为不安全 39款杀毒软件有6款认为不安全 what??结 阅读全文