摘要:一、基础问题回答 1. SQL注入攻击原理,如何防御? SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。 对于SQL注入攻击的防范,主要还是从代码上入手: 2. XSS攻击的原理,如何防御? SS是代码注入的一种,它 阅读全文
Exp 8 Web基础
2018-05-22 22:42 by 杨云鹏, 332 阅读, 0 推荐, 收藏, 编辑
摘要:一.基础问题回答 (1)什么是表单 表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 (2)浏览器可以解析运行什么语言 可以解析运行超文本标记语言HTML、可扩展标记语言XML以及Python、PHP 阅读全文
EXP7 网络欺诈
2018-05-15 21:16 by 杨云鹏, 541 阅读, 0 推荐, 收藏, 编辑
摘要:一、基础问题回答 (1)通常在什么场景下容易受到DNS spoof攻击 当与其他主机处于同一网段时,容易被中间人截取访问请求从而被攻击。 (2)在日常生活工作中如何防范以上两攻击方法 保持谨慎,不访问安全证书有问题的网站,不随意链接一些未知网络。 二、实验过程 2.1 URL攻击 首先确保两台虚拟机 阅读全文
Exp6 信息搜集与漏洞扫描
2018-05-07 21:56 by 杨云鹏, 278 阅读, 0 推荐, 收藏, 编辑
摘要:一、基础问题回答 1.哪些组织负责DNS,IP的管理。顶级的管理者是Internet Corporation for Assigned Names and Numbers (ICANN)。目前全球有5个地区性注册机构:ARIN主要负责北美地区业务;RIPE主要负责欧洲地区业务;APNIC主要负责亚太 阅读全文
Exp5 MSF基础应用
2018-04-26 23:47 by 杨云鹏, 277 阅读, 0 推荐, 收藏, 编辑
摘要:一·实践要求 1.一个主动攻击,如ms08_067; 2.一个针对浏览器的攻击,如ms11_050; 3.一个针对客户端的攻击,如Adobe; 4.成功应用任何一个辅助模块. 二·基础知识问答 用自己的话解释什么是exploit,payload,encode exploit渗透攻击模块,如同运兵车一 阅读全文
【】Exp4 恶意代码分析
2018-04-13 00:29 by 杨云鹏, 198 阅读, 0 推荐, 收藏, 编辑
摘要:一·实验过程 1系统运行监控 创建一个netstatlog.bat文件,可以直接使用指令生成,也可以创建一个.txt文件,然后将后缀修改成.bat,文件内容如下 然后在计划任务中创建一个新的计划任务,触发器设置为5分钟触发一次,操作为打开上一步生成的批处理文件 然后运行该计划任务,每五分钟就会弹出一 阅读全文
Exp3 免杀原理与实践
2018-04-07 22:40 by 杨云鹏, 259 阅读, 0 推荐, 收藏, 编辑
摘要:一·基础问题问答 (1)杀软是如何检测出恶意代码的? ①基于特征码恶意软件检测:AV软件厂商通过检测可执行文件的特征码,与特征码库中的特征码进行对比,相同的即判定为恶意代码; ②启发式恶意软件检测:根据代码的特征和行为判断,如果与恶意软件相似就判定为恶意软件; ③基于行为的恶意软件检测:与启发式类似 阅读全文
Exp2 后门原理与实践 20154325 杨云鹏
2018-03-30 00:17 by 杨云鹏, 371 阅读, 0 推荐, 收藏, 编辑
摘要:一.实验内容 (1)使用netcat获取主机操作Shell,cron启动 (2)使用socat获取主机操作Shell, 任务计划启动 (3)使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell (4)使用MSF meterpret 阅读全文