20174303刘金晖

摘要： 一、实践原理 SQL注入 SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是，在输入字符串中嵌入SQL指令，在设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认作正常SQL指令后正常执行，可能实现对后台数据库进行各种操作，甚至造成破坏后台数据库等严重后果。 X 阅读全文

摘要： 一、实践目标 本实践的具体要求有： (1).Web前端HTML(0.5分) 能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法,编写一个含有表单的HTML。 (2).Web前端javascipt(0.5分) 理解JavaScript的基本功能，理解DOM。编写JavaSc 阅读全文

摘要： 一、实践目标 本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。 二、实践过程 任务一：简单应用SET工具建立冒名网站 1.Apache设置 由于要将钓鱼网站挂在本机的http服务下，所以需要将SET工具的访问端口改为默认的80端口。使用sudo vi /etc/apach 阅读全文

摘要： 一、实践原理 MSF默认存放模块的目录是 /usr/share/metasploit-framework/modules/ MSF有6个模块，分别对上面目录下的6个子文件夹： auxiliary 负责执行信息收集、扫描、嗅探、指纹识别、口令猜测和Dos攻击等功能的辅助模块 exploits 利用系统 阅读全文

摘要： 一、实践目标 掌握信息搜集的最基础技能与常用工具的使用方法。 二、实践过程 任务一：各种搜索技巧的应用 1.通过搜索引擎进行信息搜集 百度搜索 site:edu.cn filetype:xls 电脑 ，会出现符合要求的文件 下载后打开文件 2.搜索网址目录结构 暴力破解一般就是穷举法，它的原理就是使 阅读全文

摘要： 一、实践目标 是监控你自己系统的运行状态，看有没有可疑的程序在运行。 是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可 阅读全文

摘要： 一、实验准备 1.实践内容 任务一：方法 任务二：通过组合应用各种技术实现恶意代码免杀 任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 2.基础知识 免杀： 一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀，就时清楚 阅读全文

摘要： 一、实验准备 （一）实验内容 使用netcat获取主机操作Shell，cron启动 使用socat获取主机操作Shell, 任务计划启动 使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell 使用MSF meterpreter（或 阅读全文

摘要： 一、逆向及Bof基础实践说明 （一）实践目标 对象：一个名为pwn1的linux可执行文件。 流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。 目的：该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就 阅读全文