2017年5月14日
摘要: 实验内容 •使用webgoat进行XSS攻击、CSRF攻击、SQL注入 实验问答 •SQL注入攻击原理,如何防御 ①SQL注入攻击是攻击者在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,把SQL语句当做用户名等输入正常网页中以获取数据库信息的攻击,最终达到欺骗服务器执行恶意的SQ 阅读全文
posted @ 2017-05-14 20:04 20145324王嘉澜 阅读(187) 评论(0) 推荐(0) 编辑
  2017年5月3日
摘要: 实践要求 ①Web前端HTML: 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML ②Web前端javascipt: 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则 ③MySQL基础: 正常安装 阅读全文
posted @ 2017-05-03 19:20 20145324王嘉澜 阅读(192) 评论(0) 推荐(0) 编辑
  2017年4月25日
摘要: 实践目标 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法 实践内容 ①简单应用SET工具建立冒名网站 ②ettercap DNS spoof ③结合应用两种技术,用DNS spoof引导特定访问到冒名网站。 实验问答 •1、通常在什么场景下容易受到DNS spoof攻击 阅读全文
posted @ 2017-04-25 22:02 20145324王嘉澜 阅读(179) 评论(0) 推荐(0) 编辑
  2017年4月19日
摘要: 实践目标 •掌握信息搜集的最基础技能 实践内容 •使用whois进行域名注册信息查询,使用nslookup进行域名查询 •实现对IP地理位置的查询 •使用PING、namp来探测主机是否活跃 •使用namp来获取目标主机操作系统相关信息,以及端口信息 •使用traceroute进行路由跟踪 •使用O 阅读全文
posted @ 2017-04-19 20:54 20145324王嘉澜 阅读(180) 评论(0) 推荐(0) 编辑
  2017年4月12日
摘要: 实践目标 •掌握metasploit的基本应用方式 •掌握常用的三种攻击方式的思路。 实验要求 •一个主动攻击,如ms08_067 •一个针对浏览器的攻击,如ms11_050 •一个针对客户端的攻击,如Adobe •成功应用任何一个辅助模块 实验问答 •用自己的话解释什么是exploit,paylo 阅读全文
posted @ 2017-04-12 18:33 20145324王嘉澜 阅读(268) 评论(0) 推荐(0) 编辑
  2017年3月31日
摘要: 实验内容 •schtasks、Sysmon对电脑进行系统检测,并分析 •对恶意软件进行静态分析,直接上传到网上,或者利用pe explore等软件 •对恶意软件进行动态分析,使用systracer,以及wireshark分析 实验问答 •1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监 阅读全文
posted @ 2017-03-31 21:44 20145324王嘉澜 阅读(208) 评论(0) 推荐(0) 编辑
  2017年3月25日
摘要: 实验内容 •使用msf编码器,veil evasion,以及利用shellcode编程等免杀工具,来验证各种免杀方式的免杀强度 •通过组合各种技术实现恶意代码免杀,在另一台有杀毒软件的主机上进行测试 实践步骤 •通过VirSCAN.org来检测上次实验生成的病毒的抗杀能力 •检测结果 •该病毒被检测 阅读全文
posted @ 2017-03-25 11:01 20145324王嘉澜 阅读(172) 评论(0) 推荐(0) 编辑
  2017年3月18日
摘要: 实验内容 •使用netcat、socat获取主机操作Shell,并分别设置cron启动与任务计划启动 •使用MSF meterpreter生成后门的可执行文件,并利用ncat或socat传送给主机,接着运行文件获取目标主机的音频、摄像头、击键记录、提权等内容 实验步骤 •用netcat使win获得l 阅读全文
posted @ 2017-03-18 14:34 20145324王嘉澜 阅读(448) 评论(0) 推荐(0) 编辑
  2017年3月9日
摘要: Shellcode注入 •Shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode的地址 • "实验参考" •实践过程 •生成shellcode(本次使用老师的shellcode) •运行编译 •首 阅读全文
posted @ 2017-03-09 20:07 20145324王嘉澜 阅读(208) 评论(0) 推荐(0) 编辑
  2017年3月3日
摘要: 实践目标 •本次实践的对象是一个名为pwn1的linux可执行文件。 •该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 •该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行 阅读全文
posted @ 2017-03-03 21:41 20145324王嘉澜 阅读(134) 评论(0) 推荐(0) 编辑