摘要:
sql注入探索与实践(免考题) 一、综述 sql注入攻击实质上是利用程序设计中的漏洞实现的 如果代码在引用sql语句之前,没有对传参内容进行控制,就容易被攻击者利用 本课题基于“实验吧”提供的注入实验平台,对sql注入进行全面且深入的探索性研究 由简单到复杂,在三种过滤条件下分析sql注入方法 二、 阅读全文
摘要:
Web安全基础 1 关键内容 Webgoat下进行SQL注入,XSS攻击,CSRF攻击 2 实验准备 下载地址:https://github.com/WebGoat/WebGoat/releases?after=8.0.0 运行WebGoat 在浏览器中输入以下命令,登录以确认WebGoat正常运行 阅读全文
摘要:
Web基础 1 关键内容 Web前端HTML 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML Web前端javascipt 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则 Web后端 MySQ 阅读全文
摘要:
网络欺诈防范 1 主要内容 (1)简单应用SET工具建立冒名网站 (2)ettercap DNS spoof (3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站 2 基础问题回答 通常在什么场景下容易受到DNS spoof攻击 在公共场所连接开放AP 在日常生活工作中如何防范以上两攻 阅读全文
摘要:
信息搜集与漏洞扫描 1 关键内容 (1)各种搜索技巧的应用 (2)DNS IP注册信息的查询 (3)基本的扫描技术:主机发现、端口扫描、OS及服务版本探测、具体服务的查点(以自己主机为目标) (4)漏洞扫描:会扫,会看报告,会查漏洞说明,会修补漏洞(以自己主机为目标) 2 基础问题回答 哪些组织负责 阅读全文
摘要:
MSF基础应用 1 目录 实验内容由以下四个部分组成 首先,主动攻击Windows XP靶机(ms08_067,成功) 其次,通过浏览器(IE)进行渗透(ms10_022,成功且唯一) 再次,通过客户端(Office Word)进行渗透(office_word_marco,成功且唯一) 最后,通过辅 阅读全文
摘要:
恶意代码分析 1 关键内容 系统运行监控 (1)使用计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。 (2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。 恶意软件分析 分析后 阅读全文
摘要:
免杀原理与实践 1 关键内容 正确使用msf编码器,msfvenom 生成如 jar 之类的其他文件,veil-evasion,加壳工具,使用 shellcode 编程 通过组合应用各种技术实现恶意代码免杀 用另一电脑实测,在杀软开启的情况下,可运行并回连成功 2 基础问题回答 杀软是如何检测出恶意 阅读全文
摘要:
后门原理与实践 1 关键内容 使用 netcat 获取主机操作 Shell,cron 启动 使用 socat 获取主机操作 Shell, 任务计划启动 使用 MSF meterpreter 生成可执行文件,利用 ncat 传送到主机并运行获取主机 Shell 使用 MSF meterpreter 生 阅读全文
摘要:
PC平台逆向破解 1 关键内容 NOP, JNE, JE, JMP, CMP汇编指令的机器码 反汇编与十六进制编程器 正确修改机器指令改变程序执行流程 正确构造payload进行bof攻击 2 直接修改程序机器指令,改变程序执行流程 对/Desktop/20164306目录中的pwn1进行反汇编 m 阅读全文