摘要:Exp9 Web安全基础 一、实践目标 SQL注入攻击 XSS攻击 CSRF攻击 二、实践过程 1.环境配置: 下好jar包然后放在根目录下 使用:java -jar *.jar就可以解压运行webgoat了! 2.使用webgoat: 打开Firefox,输入http://127.0.0.1:80 阅读全文
posted @ 2019-05-24 20:36 LIAUER 阅读(109) 评论(0) 推荐(0) 编辑
摘要:EXP8 web基础 一、实践要求: (1).Web前端HTML(0.5分) 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 (2).Web前端javascipt(0.5分) 理解JavaScript的基本功能,理解DOM。编写JavaS 阅读全文
posted @ 2019-05-17 19:39 LIAUER 阅读(46) 评论(0) 推荐(0) 编辑
摘要:一、实践目标本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有:1.简单应用SET工具建立冒名网站2.ettercap DNS spoof3.结合应用两种技术,用DNS spoof引导特定访问到冒名网站 二、基础问题回答1.通常在什么场景下容易受到DNS spoo 阅读全文
posted @ 2019-05-05 17:23 LIAUER 阅读(50) 评论(0) 推荐(0) 编辑
摘要:Exp6 信息搜集与漏洞扫描 一、原理与实践说明 (1)实践原理 信息搜集:渗透测试中首先要做的重要事项之一,搜集关于目标机器的一切信息 间接收集 DNS记录扫描和枚举 CorpWatch:auxiliary/gather/corpwatch_lookup_name 搜索引擎子域名搜集器:auxil 阅读全文
posted @ 2019-04-29 22:07 LIAUER 阅读(95) 评论(0) 推荐(0) 编辑
摘要:基础问题回答 (1)用自己的话解释什么是exploit,payload,encode. exploit: 是指攻击者或渗透测试者利用一个系统、应用或服务中的安全漏洞所进行的攻击行为, 包括利用缓冲区溢出、Web应用程序漏洞攻击,以及利用配置错误等。按照所利用的安全漏洞所在的位置分为主动渗透攻击(攻击 阅读全文
posted @ 2019-04-19 09:26 LIAUER 阅读(88) 评论(0) 推荐(0) 编辑
摘要:1.实践目标 1.是监控你自己系统的运行状态,看有没有可疑的程序在运行。 2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 3.假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看 阅读全文
posted @ 2019-04-07 18:34 LIAUER 阅读(75) 评论(0) 推荐(0) 编辑
摘要:一、实验要求 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分) (如果成功实现了免杀的,简单语言描 阅读全文
posted @ 2019-03-31 21:36 LIAUER 阅读(95) 评论(0) 推荐(0) 编辑
摘要:1.实验内容 (1)使用netcat获取主机操作Shell,cron启动 (2)使用socat获取主机操作Shell, 任务计划启动 (3)使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell (4)使用MSF meterpret 阅读全文
posted @ 2019-03-24 21:57 LIAUER 阅读(124) 评论(0) 推荐(0) 编辑
摘要:实验目的: 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个 阅读全文
posted @ 2019-03-16 23:15 LIAUER 阅读(89) 评论(0) 推荐(0) 编辑