摘要:
Exp9 Web安全基础 实验内容 webgoat安装 下载webgoat-container-7.0.1-war-exec.jar7.0.1版本需要jdk8,kali自带的是jdk11,需要重新配置,使用命令运行webgoat。 java -jar webgoat-container-7.0.1- 阅读全文
摘要:
原理与实践说明 实践内容概述 Web前端HTML 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 Web前端javascipt 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。 Web后端: 阅读全文
摘要:
实践目标 本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路。 回答实践问题 1.通常在什么场景下容易受到 DNS spoof 攻击? 在使用公用网络时容易收到 DNS spoof 攻击。例如:火车站、购物中心、娱乐中心等等。 2.在日常生活工作中如何防范以上两攻击方法 阅读全文
摘要:
实践目标 本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路。 回答实践问题 1.用自己的话解释什么是exploit,payload,encode。 exploit:就是渗透攻击。这个模块下面有针对各种平台各种软件下的漏洞开发的渗透攻击子模块,用户可以调用某一个对靶机进 阅读全文
摘要:
实践目标 掌握信息搜集的最基础技能与常用工具的使用方法。 回答实践问题 1.哪些组织负责DNS,IP的管理。 全球根服务器均由美国政府授权的ICANN统一管理,负责全球的域名根服务器、DNS和IP地址管理。ICANN理事会是ICANN的核心权利机构,它设立三个支持组织,分别是: 地址支持组织(ASO 阅读全文
摘要:
实践目标 是监控你自己系统的运行状态,看有没有可疑的程序在运行。 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对 阅读全文
摘要:
基础问题 1.杀软是如何检测出恶意代码的? 基于特征码:如果一个可执行文件(或其他运行的库、脚本等)包含有类似恶意代码的一段或多段数据则被杀软认为是恶意代码。 启发式恶意软件检测:如果一个软件做一些恶意软件通常干的典型例子,就把它当成一个恶意软件。 基于行为的恶意软件检测:在启发式基础上对软件行为进 阅读全文
摘要:
实验内容 使用netcat获取主机操作Shell,cron启动 (0.5分) 使用socat获取主机操作Shell, 任务计划启动 (0.5分) 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(0.5分) 使用MSF met 阅读全文
摘要:
实践目标 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代 阅读全文
摘要:
一、安装时主要参考组长的博客进行—— https://www.cnblogs.com/Yogile/p/12337248.html。因为正确步骤大同小异,所以不再赘述。 二、主要纪录一些在安装运用过程中遇到的问题: 1.方框乱码:刚装好虚拟机后,大量显示乱码。 主要原因是没有中文包,输入命令sudo 阅读全文