摘要： 中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 任梓铭 年级 2017级 区队 网络安全与执法七区队 指导教师 高见 信息技术与网络安全学院 2019年12月23日 实验任务总纲 2019 阅读全文

摘要： 1.数字型注入 普通输入 测试注入点,用1 or 1=1 发现其返回了所有数据,判断这个为注入点 2.字符型注入 随便输入下 由于是字符型,需要将引号闭合 1' or 1=1# 3.搜索型注入 随便输入个a 猜测是使用了like 所以构造: a%'or'1'='1'# 4.xx型注入 查询时有括号, 阅读全文

摘要： 1.本地文件包含 抓包,修改参数 执行恶意文件 成功执行 2.远程文件包含 远程文件包含漏洞。是指能够包含远程服务器上的文件并执行。由于远程服务器的文件是我们可控的，因此漏洞一旦存在危害性会很大。但RFI的利用条件较为苛刻，需要php.ini中进行配置 allow_url_fopen = On al 阅读全文

摘要： 概述 1.CSRF(get) 抓包看看 发现其参数直接用get提交,并且没做什么认证(即攻击者不需要任何用户的信息即可构造请求,如果防御的话我觉得应该利用cookie等认证用户的信息添加到get请求里) 用户点击该网站链接时会以用户的身份提交攻击者提前准备好的数据 2.CSRF(post) 抓包看看 阅读全文

摘要： 1.反射xss(get) <script>alert(1)</script>(由于限制长度,需要修改前端的长度) (其实get方法才是常见的,post很难做到诱导,因为涉及提交表单,用户是不会主动把你的恶意代码输入的.但我可以构造get请求: http://127.0.0.1:801/pikachu 阅读全文

摘要： 1.普通暴力破解: 打开xampp,配置好并start服务; 打开burpsite 配置好代理(这里有个坑,就是burpsite不能对127做代理,需要访问时用本机ip代替127.0.0.1进行访问) 成功抓到包 成功爆破出密码123456 2.验证码绕过 抓包分析 发现其只有页面加载时才会请求,所 阅读全文

摘要： 中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验三 密码破解技术 学生姓名 任梓铭 年级 2017级 区队 网络实验班 指导教师 高见 信息技术与网络安全学院 2019年12月9日 实验任务总纲 2019—2020  阅读全文

摘要： 第一部分 ARP欺骗 欺骗攻击前后，通过Arp-a命令验证欺骗是否成功（附截图） 欺骗过程中，在主机A开启Wireshark进行抓包，分析APR欺骗攻击过程中的数据包特点。（附截图） 欺骗完成后，主机C成功获取FTP用户名和密码（附截图） 第二部分 DNS 正常 过程 结果 第三部分 FTP协议分析 阅读全文

摘要： 学 号 中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验一 网络侦查与网络扫描 学生姓名 任梓铭 年级 201721460006 区队 实验班 指导教师 高见 信息技术与网络安全学院 2019年10月28日 学 号 阅读全文