摘要： 实验内容 •使用webgoat进行XSS攻击、CSRF攻击、SQL注入 实验问答 •SQL注入攻击原理，如何防御 ①SQL注入攻击是攻击者在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，把SQL语句当做用户名等输入正常网页中以获取数据库信息的攻击，最终达到欺骗服务器执行恶意的SQ 阅读全文

摘要： 实践要求 ①Web前端HTML： 能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法,编写一个含有表单的HTML ②Web前端javascipt： 理解JavaScript的基本功能，理解DOM。编写JavaScript验证用户名、密码的规则 ③MySQL基础： 正常安装 阅读全文

摘要： 实践目标 本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法 实践内容 ①简单应用SET工具建立冒名网站 ②ettercap DNS spoof ③结合应用两种技术，用DNS spoof引导特定访问到冒名网站。 实验问答 •1、通常在什么场景下容易受到DNS spoof攻击 阅读全文

摘要： 实践目标 •掌握信息搜集的最基础技能 实践内容 •使用whois进行域名注册信息查询，使用nslookup进行域名查询 •实现对IP地理位置的查询 •使用PING、namp来探测主机是否活跃 •使用namp来获取目标主机操作系统相关信息，以及端口信息 •使用traceroute进行路由跟踪 •使用O 阅读全文

摘要： 实践目标 •掌握metasploit的基本应用方式 •掌握常用的三种攻击方式的思路。 实验要求 •一个主动攻击，如ms08_067 •一个针对浏览器的攻击，如ms11_050 •一个针对客户端的攻击，如Adobe •成功应用任何一个辅助模块 实验问答 •用自己的话解释什么是exploit,paylo 阅读全文

摘要： 实验内容 •schtasks、Sysmon对电脑进行系统检测，并分析 •对恶意软件进行静态分析，直接上传到网上，或者利用pe explore等软件 •对恶意软件进行动态分析，使用systracer，以及wireshark分析 实验问答 •1、如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监 阅读全文

摘要： 实验内容 •使用msf编码器，veil evasion，以及利用shellcode编程等免杀工具，来验证各种免杀方式的免杀强度 •通过组合各种技术实现恶意代码免杀，在另一台有杀毒软件的主机上进行测试 实践步骤 •通过VirSCAN.org来检测上次实验生成的病毒的抗杀能力 •检测结果 •该病毒被检测 阅读全文

摘要： 实验内容 •使用netcat、socat获取主机操作Shell，并分别设置cron启动与任务计划启动 •使用MSF meterpreter生成后门的可执行文件，并利用ncat或socat传送给主机，接着运行文件获取目标主机的音频、摄像头、击键记录、提权等内容 实验步骤 •用netcat使win获得l 阅读全文

摘要： Shellcode注入 •Shellcode实际是一段代码，但却作为数据发送给受攻击服务器，将代码存储到对方的堆栈中，并将堆栈的返回地址利用缓冲区溢出，覆盖成为指向 shellcode的地址 • "实验参考" •实践过程 •生成shellcode（本次使用老师的shellcode） •运行编译 •首 阅读全文

摘要： 实践目标 •本次实践的对象是一个名为pwn1的linux可执行文件。 •该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。 •该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行 阅读全文