MS08-067漏洞攻击 攻击机:Kali:192.168.31.132 靶机:win XP SP3(English):192.168.31.180 在VMware中设置两台虚拟机网络为NAT模式,自动分配IP地址,之后两台虚拟机修改IP后可以直接ping通. MS08_067远程漏洞攻击实践:Shell 1.在kali终端中开启msfconsole. 2.输入命令search ms08_067,会显示出找到的渗透模块,如下图所示: 3.输入命令use exploit/windows/smb/m…
实践目标 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串. 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell.正常情况下这个代码是不会被运行的.我们实践的目标就是想办法运行这个代码片段. 基础知识 NOP:NOP指令即"空指令".执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令.(机器码:90) JNE:条件转移指令,如果…
问题回答 SQL注入攻击原理?如何防御? 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,使非法数据侵入系统. 防御: 1.对用户的输入进行校验,可以通过正则表达式,双"-"进行转换等. 2.不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取. 3.不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接. 4.不要把机密信息直接存…
Apache 因为端口号80已经被占用(上次实验设置的),所以先修改/etc/apache2/ports.conf里的端口为5232后重新开启 可以在浏览器中输入localhost:5208来检查是否正常开启,这里可以看到打开了上次实验的网页,开启正常 前端编程 在浏览器中打开localhost:5232/5232.html 点击submit会把表单提交到指定页面,因为还没有编写php文件,所以提交后找不到页面 后端编程 PHP javascript javascript一般可以写在html中<…
shellcode注入 1.Linux下有两种基本构造攻击buf的方法:retaddr+nop+shellcode,nop+shellcode+retaddr.我们采用anything+retaddr+nops+shellcode的方法. 2.实验的目标是找到返回地址的位置和shellcode的地址.然后通过修改返回地址使其自动执行shellcode 实验前通过命令:apt-get install exestack安装exestack 拷贝并运行pwn1文件确保可以使用 设置堆栈可执行 关闭地址…
13.1 网络概述 13.1.1计算机网络概述 网络编程的实质:两个(或多个)设备(例如计算机)之间的数据传输. 计算机网络的定义:通过一定的物理设备将处于不同位置的计算机连接起来组成的网络,这个网络中包含的设备有:计算机.路由器.交换机等等. 这学期有<计算机网络>这门课,学习了不少网络硬件知识,相较于软件编程,当深入到网络编程的底层时,这些基础知识是必须要及时巩固. 网络最主要的优势在于共享:共享设备和数据. IP地址是指互联网协议地址(英语:Internet Protocol Addre…
教材学习内容总结 14 NIO与NIO2 NIO使用频道(channel)来衔接数据节点,对数据区的标记提供了clear(),rewind(),flip(),compact()等高级操作. 想要取得channel的操作对象,可以使用channels类. Buffer的直接子类们都有一个allocate()静态方法,可以让你指定Buffer容量. Buffer的容量大小可以使用capacity()方法取得. 在以前,并没有标准方式取得不同文件系统所支持的不同属性,在JDK7中,可以通过BasicF…
教材学习内容总结 学习目标 了解JDBC架构 掌握JDBC架构 掌握反射与ClassLoader 了解自定义泛型和自定义枚举 会使用标准注解 JDBC标准主要分为两个部分:JDBC应用程序开发者接口和JDBC驱动程序开发者接口.应用程序需要联机数据库,其相关API主要在java.sql和javax.sql两个包中. 应用程序会使用JDBC联机数据库: Connection conn = DriverManager.getConnection(--); Statement st = conn.cr…
教材学习内容总结 Java是以串流(Stream)的方式来处理输入与输出. 串流是一种抽象观念,从键盘输入资料,将处理结果输入档案,以及读取档案的内容等动作皆视为串流的处理. 输入串流代表对象为java.io.InputStream实例,输出串流代表对象java.io.OutputStream实例. 在不使用InputStream与OutputStream时,必须使用close()方法关闭串流. System.in与System.out分别是InputStream与PrintStream的实例,…
教材学习内容总结 处理异常 教材中使用一个简单的程序,用户连续输入整数最后输入0结束后显示输入数的平均值. 但有时,用户会没有按常规出牌输入不正确的信息,例如"30"输成"3o" 编译会出错,错误信息第一行出现Exception in thread "main"java.util.InputMismatchException 使用尝试try捕捉catch代表错误的对象后做一些处理 import java.util.*; public class…