20175221  3.24网络攻防选拔题部分write up Q1:百度一下,你就知道 解压题目得到一个文件夹和一个网址 打开文件夹,有三张图片 用winhex和stegsolve查看三张图片,没有发现异常.Kali里面binwalk跑一下,也没有隐藏文件.不太像隐写题,可能是web,将目标移到网址上. 打开网址,F12开发者工具 发现最底下script下的字符串可疑,复制粘贴用base解. 将字符串先转base16,再转base64,得到flag. Q2 解压题目得到一张图片,但是无法打开.…

2018-2019-2 20165312<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.信息搜集技术与隐私保护--知识点总结 二.实验步骤 各种搜索技巧的应用 Google Hacking 搜索网址目录结构 搜索特定类型的文件 搜索Email IP路由侦查 DNS IP注册信息的查询 whois nslookup dig IP2Location 地理位置查询 netcraft提供信息查询服务 IP2反域名查询 基本的扫描技术 主机扫描 端口扫描 操作系统版本探测 具体服务及版本探测 漏…

2018-2019-2 20165315<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.实验内容 二.实验步骤 1.各种搜索技巧的应用 2.DNS IP注册信息的查询 3.基本的扫描技术 主机发现 端口扫描 OS及服务版本探测 具体服务的查点 4.漏洞扫描 三.实验中遇到的问题 四.实验总结 1.实验后回答问题 2.实验感想 一.实验内容 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术:主机发现.端口扫描.OS及服务版本探测.具体服务的查点(以自己主机为目标) 漏洞扫描…

20155201 网络攻防技术 实验九 Web安全基础 一.实践内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 二.报告内容: 1. 基础问题回答 1)SQL注入攻击原理,如何防御 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息. SQL注入攻击的典型手段:判断应用程序是否存在注入漏洞,收集信息…

20155201 网络攻防技术 实验五 MSF基础应用 一.实践内容 一个主动攻击实践,如ms08_067 一个针对浏览器的攻击,如ms11_050 一个针对客户端的攻击,如Adobe 成功应用任何一个辅助模块 二.报告内容: 1. 基础问题回答 1)用自己的话解释什么是exploit,payload,encode. exploit:把负责攻击靶机的代码或者程序传送到靶机上 payload:载荷,exploit传送的内容 encode:编码方式,可以修改载荷的编码方式让载荷不容易被发现. 2)离…

2015306 白皎 <网络攻防>EXP6 信息搜集与漏洞扫描 一.问题回答 (1)哪些组织负责DNS,IP的管理. 顶级的管理者是Internet Corporation for Assigned Names and Numbers (ICANN),全球根服务器均由美国政府授权的ICANN统一管理. 目前全球有5个地区性注册机构: 1)ARIN主要负责北美地区业务 2)RIPE主要负责欧洲地区业务 3)APNIC主要负责亚太地区业务 4) LACNIC主要负责拉丁美洲美洲业务 5)AfriN…

20155318 <网络攻防> Exp9 Web基础 基础问题 SQL注入攻击原理,如何防御 就是通过把SQL命令插入到"Web表单递交"或"输入域名"或"页面请求"的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.设计程序中忽略对可能构成攻击的特殊字符串的检查.后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果. 预防:可以在后台控制输入的长度,对于一些特殊符号禁止用户…

20155321 <网络攻防> Exp9 Web安全基础 基础问题 SQL注入攻击原理,如何防御 原理:在事先定义好的SQL语句的结尾上添加额外的SQL语句(感觉一般是或上一个永真式),以此来器执行任意的查询,从而获取相应的数据信息 防御办法:可以在后台控制输入的长度或者是对于一些特殊符号,例如--等禁止用户输入 XSS攻击的原理,如何防御 原理:XSS主要分为存储型和反射型.存储型XSS数据库中存有的存在XSS攻击的数据,返回给客户端.若数据未经过任何转义.被浏览器渲染.就可能导致XSS攻击…

<网络攻防> Exp9 Web安全基础 一.实验后回答问题 SQL注入攻击原理,如何防御: 原理: 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. 防御: 检查变量数据类型和格式只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击. 过滤特殊符号:对于无法确定固定格式的变量,一定要进行特殊符号过滤或转义处理. 绑定变量,使用预编译语句:MySQL…

20145335郝昊<网络攻防>Exp9 Web安全基础实践 实验内容 理解常用网络攻击技术的基本原理. 完成WebGoat实践下相关实验 实验步骤 XSS注入攻击 Phishing with XSS 这个XSS攻击比较简单,需要的是在网页的文本框里写一个钓鱼网站,仔细读给的题目就可以分析出来(但是英语四级没过的我很伤=_=) </form> <script> function hack(){ XSSImage=new Image; XSSImage.src="…