摘要:EXP9 Web安全基础实践 基础问题回答 1.SQL注入攻击原理,如何防御? 原理:SQL注入是一种将SQL代码添加到输入参数中,传递到服务器解析并执行的一种攻击手法。SQL注入攻击是输入参数未经过滤,然后直接拼接到SQL语句当中解析,执行达到预想之外的一种行为,简单来说就是让应用运行本不应该运行 阅读全文
posted @ 2018-05-25 09:09 20154329 阅读(84) 评论(0) 推荐(0) 编辑
摘要:EXP8 Web基础 基础问题回答 1.什么是表单? 表单:表单在网页中主要负责数据采集功能。 基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 表单按钮 阅读全文
posted @ 2018-05-22 15:28 20154329 阅读(93) 评论(0) 推荐(0) 编辑
摘要:Exp07 网络欺诈防范 实践内容 简单应用SET工具建立冒名网站 ettercap DNS spoof 结合应用两种技术,用DNS spoof引导特定访问到冒名网站 实验环境 攻击机:Kali 靶机: windows 10 (因为使用过热点和校网,所以IP有所变化) 1.SET工具建立冒名网站 查 阅读全文
posted @ 2018-05-11 11:28 20154329 阅读(307) 评论(0) 推荐(0) 编辑
摘要:Exp6 信息搜集与漏洞扫描 实践目标 掌握信息搜集的最基础技能与常用工具的使用方法。 实践内容 1.1 whois 查询 whois是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。通过 阅读全文
posted @ 2018-05-03 21:36 20154329 阅读(214) 评论(0) 推荐(0) 编辑
摘要:Exp5 MSF基础应用 实践目标 本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路。 实验过程 任务一 主动攻击 使用漏洞:ms08_067 攻击机IP 192.168.40.131 靶机IP(英文版) 192.168.40.129 use exploit/wind 阅读全文
posted @ 2018-04-20 09:50 20154329 阅读(138) 评论(0) 推荐(0) 编辑
摘要:Exp4 恶意代码分析 实践目标 1.监控自己系统的运行状态,看有没有可疑的程序在运行。 2.分析一个恶意软件,分析Exp2或Exp3中生成后门软件。 实验过程 任务一 系统运行监控 1.使用 netstat 定时监控 在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存 阅读全文
posted @ 2018-04-13 07:25 20154329 阅读(225) 评论(0) 推荐(0) 编辑
摘要:Exp3 免杀原理与实践 前情提要 上一个实验,我们在关闭了杀毒软件之后成功控制主机。这次的实验,是要瞒天过海,在杀毒软件开启的情况下控制主机。 实验过程 准备工作 任务一 使用Msfvenom编码器 直接检测上次实验生成的后门文件 很显然,能够直接被360检测出来的木马文件被判定为危险 编码十次试 阅读全文
posted @ 2018-04-08 00:05 20154329 阅读(153) 评论(0) 推荐(0) 编辑
摘要:Exp2后门原理与实践 实验准备 1.知识储备 关于netcat: 又名nc,ncat.是一个底层工具,进行基本的TCP UDP数据收发。常被与其他工具结合使用,起到后门的作用。 2.f附件准备 在课程主页下载附件ncat.exe和socat.exe 实验过程 任务一:使用netcat获取主机操作S 阅读全文
posted @ 2018-03-31 21:12 20154329 阅读(150) 评论(0) 推荐(0) 编辑
摘要:# Exp2后门原理与实践 ### 实验准备 1.知识储备 关于netcat: 又名nc,ncat.是一个底层工具,进行基本的TCP UDP数据收发。常被与其他工具结合使用,起到后门的作用。2.f附件准备 在课程主页下载附件ncat.exe和socat.exe ## 实验过程### 任务一:使用ne 阅读全文
posted @ 2018-03-30 00:19 20154329 阅读(92) 评论(0) 推荐(0) 编辑