摘要:
一、实验目标 理解常用网络攻击技术的基本原理,做不少于7个题目 二、实验内容 1.WebGoat 命令行输入 ( 不同版本的webgoat名称有所不同 ) 浏览器输入 ,输入默认的 用户名密码即可 2.SQL注入攻击(Injection Flaws) (1)命令注入(Command Injectio 阅读全文
摘要:
一、实践目标 1.能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 2.理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。 3.正常安装、启动MySQL,建库、创建用户、修改密码、建表 4.连接 阅读全文
摘要:
一、实践目标 理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。 二、实践内容 本次实验都是在进入 sudo 管理员 模式后进行 1.简单应用SET工具建立冒名网站 欲将钓鱼网站挂在本机的http服务下,于是使用 命令修改Apache的端口文件,将SET工具的访问端口改为80,如下图所 阅读全文
摘要:
一、列出自己的贡献 1.参与讨论课程设计项目,完成设计任务 2.完成本地环境的搭建与指导组内成员完成环境搭建 3.指导 "20175201" 完成用户注册、登录和管理员登陆模块 4.指导 "20175229" 完成用户注册、登录和管理员登录模块的加密、以及完成管理员查看用户信息模块。 5.完成关于 阅读全文
摘要:
一、原理与实践说明 1.实践原理 1.MSF攻击方法 主动攻击:扫描主机漏洞,进行攻击 攻击浏览器 攻击其他客户端 2.MSF的六个模块 查看六种模块源码目录 渗透攻击模块 :攻击漏洞,把shellcode"背"过去 辅助模块 :在进行渗透攻击之前得到目标系统丰富的情报信息,它是攻击的前提 攻击载荷 阅读全文
摘要:
一、原理与实践说明 1.实践相关概念与原理 间接收集 概念:不接触目标 无物理连接 不访问目标 方法:使用第三方信息源 比如查询whois信息 假设我们的目标是一个在线的Web服务,那么通过whois查询可以获得它的ip地址,域名信息,子域信息,服务器位置信息等。 数据窃听与分析 只有在特定环境下才 阅读全文
摘要:
一、实践目标与内容概述 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行。 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个 阅读全文
摘要:
一、恶意代码检测机制和免杀原理 由于老师实验指导书中有提到了,这部分内容不加赘述,只是提及一下。 1.恶意代码检测机制 1.1 基于特征码的检测 简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。 1.2 启发式恶意软件检测 “Whe 阅读全文
摘要:
一、后门的概念 二、常用后门工具 2.1 NC 或 netcat 又名nc,ncat http://nc110.sourceforge.net/ http://netcat.sourceforge.net/. 2.1.1 Win获得Linux Shell Windows获得Linux Shell 在 阅读全文
摘要:
1.逆向及Bof基础实践说明 1.1 实践目标 对象:pwn1(linux可执行文件) 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 目标:使程序执行另一个代码片段:getshell 内容: 手工修改可执行文件,改变程序执行流程,直接跳转到getShell 阅读全文