摘要: 1.实践内容 (1)web浏览器渗透攻击 任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。 实验步骤: ①选择使用Metasploit中的MS06-014渗透攻击模块 ②选择PAYLOAD为任意远程Shell连接 ③设置服务器地址和URL参数, 阅读全文
posted @ 2022-05-28 09:36 虎啊虎呀 阅读(14) 评论(0) 推荐(0) 编辑
摘要: 1.实践内容 1.1sql注入 SQL 注入(SQL Injection)是发生在 Web 程序中数据库层的安全漏洞,是网站存在最多也是最简单的漏洞。主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句,在管理员 阅读全文
posted @ 2022-05-21 20:54 虎啊虎呀 阅读(20) 评论(0) 推荐(0) 编辑
摘要: 1.实验内容 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这 阅读全文
posted @ 2022-05-15 19:20 虎啊虎呀 阅读(16) 评论(0) 推荐(0) 编辑
摘要: 1.实践内容 1.1加壳与脱壳 加壳是利用特殊的算法,对可执行文件里的资源进行压缩,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过加载器载入内存后,先于原始程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序, 阅读全文
posted @ 2022-05-08 09:44 虎啊虎呀 阅读(32) 评论(0) 推荐(0) 编辑
摘要: 1.实践内容 Linux操作系统基本框架概述 如下图所示,Linux系统一般有4个主要部分:内核、shell、文件系统和应用程序。内核、shell和文件系统一起形成了基本的操作系统结构,它们使得用户可以运行程序、管理文件并使用系统。 内核:内核是操作系统的核心,具有很多最基本功能,如虚拟内存、多任务 阅读全文
posted @ 2022-04-25 19:41 虎啊虎呀 阅读(17) 评论(0) 推荐(0) 编辑
摘要: 1.知识梳理 1.1Metasploit Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasplo 阅读全文
posted @ 2022-04-24 20:37 虎啊虎呀 阅读(18) 评论(0) 推荐(0) 编辑
摘要: 1.实践内容 防火墙技术及产品 定义:防火墙指的是置于不同的网络安全域之间,对网络流量或访问行为实施访问控制的安全组件或设备,达到保护特定网络安全域免受非法访问和破坏的安全目标。 功能: 检查控制进出网络的流量。 防止脆弱或不安全的协议和服务。 防止内部网络信息的外泄。 对网络存取和访问进行监控审计 阅读全文
posted @ 2022-04-17 16:11 虎啊虎呀 阅读(24) 评论(0) 推荐(0) 编辑
摘要: 恢复内容开始 1.实践内容 ARP欺骗攻击 定义:ARP欺骗也称为ARP下毒,是指攻击者在有线或以太网上发送伪造的ARP信息,对特定IP所对应的的MAC地址进行假冒欺骗,从而达到恶意目的的攻击技术。 原理:ARP协议在设计时认为局域网内部的所有用户都是可信的,但是局域网内可以存在内部攻击者,或者已经 阅读全文
posted @ 2022-04-03 20:48 虎啊虎呀 阅读(74) 评论(0) 推荐(0) 编辑
摘要: 1.实验要求 1.1动手实践tcpdump 打开tcpdump开始抓包 访问天涯网站 对抓到的包过滤,输入过滤条件 sudo tcpdump src 192.168.200.2 and tcp dst port 80 筛选源地址为本机且端口为80的TCP包 访问的服务器主要是: 124.225.20 阅读全文
posted @ 2022-04-01 21:47 虎啊虎呀 阅读(10) 评论(0) 推荐(0) 编辑
摘要: 1.实验要求 1.1域名查询 从www.besti.edu.cn、baidu.com、sina.com.cn中选择一个DNS域名进行查询,获取如下信息: 访问https://lookup.icann.org/lookup网址查询baidu.com的相关信息,可以得到DNS注册人及联系方式等 选取ww 阅读全文
posted @ 2022-03-26 20:20 虎啊虎呀 阅读(26) 评论(0) 推荐(0) 编辑