摘要： Exp9 Web安全基础 一、实践目标 SQL注入攻击 XSS攻击 CSRF攻击 二、实践过程 1.环境配置： 下好jar包然后放在根目录下 使用：java -jar *.jar就可以解压运行webgoat了！ 2.使用webgoat： 打开Firefox，输入http://127.0.0.1:80 阅读全文

摘要： EXP8 web基础 一、实践要求： (1).Web前端HTML(0.5分) 能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法,编写一个含有表单的HTML。 (2).Web前端javascipt(0.5分) 理解JavaScript的基本功能，理解DOM。编写JavaS 阅读全文

摘要： 一、实践目标本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有：1.简单应用SET工具建立冒名网站2.ettercap DNS spoof3.结合应用两种技术，用DNS spoof引导特定访问到冒名网站 二、基础问题回答1.通常在什么场景下容易受到DNS spoo 阅读全文

摘要： Exp6 信息搜集与漏洞扫描 一、原理与实践说明 （1）实践原理 信息搜集：渗透测试中首先要做的重要事项之一，搜集关于目标机器的一切信息 间接收集 DNS记录扫描和枚举 CorpWatch:auxiliary/gather/corpwatch_lookup_name 搜索引擎子域名搜集器:auxil 阅读全文

摘要： 基础问题回答 （1）用自己的话解释什么是exploit,payload,encode. exploit: 是指攻击者或渗透测试者利用一个系统、应用或服务中的安全漏洞所进行的攻击行为, 包括利用缓冲区溢出、Web应用程序漏洞攻击，以及利用配置错误等。按照所利用的安全漏洞所在的位置分为主动渗透攻击(攻击 阅读全文

摘要： 1.实践目标 1.是监控你自己系统的运行状态，看有没有可疑的程序在运行。 2.是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。 3.假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看 阅读全文

摘要： 一、实验要求 1.1 正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分） 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分) （如果成功实现了免杀的，简单语言描 阅读全文

摘要： 1.实验内容 (1)使用netcat获取主机操作Shell，cron启动 (2)使用socat获取主机操作Shell, 任务计划启动 (3)使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell (4)使用MSF meterpret 阅读全文

摘要： 实验目的： 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个 阅读全文