20155315庄艺霖

摘要： 总任务 本次免考实践我做的是通过钓鱼邮件实现最终在win7系统的提权。 经过五个步骤实现了最终目标 实践过程 "第一步：邮箱嗅探" 要想实现钓鱼邮件，第一步就是对可用邮箱进行探测 使用Bing高级搜索 使用theharvester 使用msf辅助模块 "第二步：文件捆绑" 直接将恶意程序作为附件是无 阅读全文

摘要： 原理 使用metasploit使目标机成功回连之后，要进一步攻击就需要提升操作权限。对于版本较低的Windows系统，在回连的时候使用getsystem提权是可以成功的，但是对于更高的系统操作就会被拒绝。为了获得受害机器的完全权限，需要绕过限制，获取本来没有的一些权限，这些权限可以用来删除文件，查看 阅读全文

摘要： 原理 中间人攻击（Man in the Middle Attack, MITM）是一种由来已久的网络入侵手段，并且在今天仍然有着广泛的发展空间，如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之，所谓的MITM攻击就是通过拦截正常的网络通信数据，并进行数据篡改和嗅探，而通信的双方却毫 阅读全文

摘要： 原理 钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。 Swaks Swaks——Swiss Army Knife fo 阅读全文

摘要： 原理 文件捆绑也就是将正常文件A和恶意代码文件B捆绑成第三方文件C。当用户点击文件C时，用户看到的是文件A的执行结果，而文件B则在后台悄悄执行。 用winrar的简单功能，创建自解压可执行文件，实现将txt等文件与病毒程序捆绑，构成恶意附件。 UltraEdit UltraEdit 是一套功能强大的 阅读全文

摘要： 原理 theharvester 该程序的目的是收集电子邮件、子域、主机、员工姓名、开放端口和来自不同公共来源的横幅，如搜索引擎、PGP密钥服务器和SHODAN计算机数据库。 特点 请求之间的时间延迟 支持全源搜索 可用的虚拟主机验证器 可进行主动枚举（DNS枚举、反向查找、TLD扩展） 集成电脑数据 阅读全文

摘要： 实验目的 理解常用网络攻击技术的基本原理。 "教程1" "教程2" "教程3" 实验内容 SQL注入攻击 XSS攻击 CSRF攻击 Webgoat前期准备 从 "GitHub" 上下载jar包 拷贝到本地，并使用命令 运行Webgoat，出现 则开启成功，可以看到占用8080端口，实验过程中不能关闭 阅读全文

摘要： 实验目的 理解HTML，学会Web前端、Web后端和数据库编程及SQL注入、XSS攻击测试 "教程" 实验内容 操作程序规律 运行脚本或可执行文件 查看配置文件 出错找日志 Web前端HTML 能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法,编写一个含有表单的HTML 阅读全文

摘要： 实验目的 本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。 实验内容 简单应用SET工具建立冒名网站 ettercap DNS spoof 结合应用两种技术，用DNS spoof引导特定访问到冒名网站。 实验步骤 （一）应用SET工具建立冒名网站 生成的钓鱼网站如果使用h 阅读全文

摘要： 实验目的 进行信息搜集的工作，为实战做准备 "教程" 实验内容 外围信息搜集 NMAP OpenVAS 实验步骤 （一）各种搜索技巧的应用 实战的前提是进行信息搜索。当我们想要有针对地进行操作的时候，就要在已知信息的基础上综合利用各种搜索工具来实现自己的目的。主要是通过某个已知网站或IP来查找漏洞。 阅读全文