摘要:
一、实践原理 SQL注入 SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是,在输入字符串中嵌入SQL指令,在设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果。 X 阅读全文
摘要:
一、实践目标 本实践的具体要求有: (1).Web前端HTML(0.5分) 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 (2).Web前端javascipt(0.5分) 理解JavaScript的基本功能,理解DOM。编写JavaSc 阅读全文
摘要:
一、实践目标 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。 二、实践过程 任务一:简单应用SET工具建立冒名网站 1.Apache设置 由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。使用sudo vi /etc/apach 阅读全文
摘要:
一、实践原理 MSF默认存放模块的目录是 /usr/share/metasploit-framework/modules/ MSF有6个模块,分别对上面目录下的6个子文件夹: auxiliary 负责执行信息收集、扫描、嗅探、指纹识别、口令猜测和Dos攻击等功能的辅助模块 exploits 利用系统 阅读全文
摘要:
一、实践目标 掌握信息搜集的最基础技能与常用工具的使用方法。 二、实践过程 任务一:各种搜索技巧的应用 1.通过搜索引擎进行信息搜集 百度搜索 site:edu.cn filetype:xls 电脑 ,会出现符合要求的文件 下载后打开文件 2.搜索网址目录结构 暴力破解一般就是穷举法,它的原理就是使 阅读全文
摘要:
一、实践目标 是监控你自己系统的运行状态,看有没有可疑的程序在运行。 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可 阅读全文
摘要:
一、实验准备 1.实践内容 任务一:方法 任务二:通过组合应用各种技术实现恶意代码免杀 任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 2.基础知识 免杀: 一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀,就时清楚 阅读全文
摘要:
一、实验准备 (一)实验内容 使用netcat获取主机操作Shell,cron启动 使用socat获取主机操作Shell, 任务计划启动 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell 使用MSF meterpreter(或 阅读全文
摘要:
一、逆向及Bof基础实践说明 (一)实践目标 对象:一个名为pwn1的linux可执行文件。 流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 目的:该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就 阅读全文