- 博客(18)
- 收藏
- 关注
RSS订阅原创 20222927 2021-2022-2 《网络攻防实践》第十一次作业
本次实践动手实现了web浏览器渗透攻击,网页木马的分析取证,对msf的使用,进行了加深。
2023-05-24 21:13:34
438
原创 [极客大挑战 2019]Secret File 1
在action.php里面找到了 secr3t.php。[极客大挑战 2019]Secret File 1。php://filter是PHP语言中特有的协议流。要同时不出现/、tp、input、data才行。找到 secr3t.php 的源代码。查看源代码也没什么可用的信息,想到抓包。直接访问flag.php无法访问成功,看到可疑php,点进去。于是打出payload。拿去解码,找到flag。
2023-05-16 14:36:18
193
原创 20222927 2021-2022-2 《网络攻防实践》实践十报告
在XSS的防御上,输入检查一般是检查用户输入的数据中是否包含一些特殊字符,如、'、“等,如果发现存在特殊字符,者将这些特殊字符过滤或者编码。XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。
2023-05-15 22:20:49
644
原创 【BUUCTF】[强网杯 2019]随便注 1
变成16进制就可以了1’;因为会对select进行过滤,所以我们只需要绕过select就可以了我们把select * from。【BUUCTF】[强网杯 2019]随便注 1。数字要加``,先爆破数据库,再爆破表格。数字需要加反引号,百度搜就可以了。1’ or 1 = 1万用试一试。
2023-05-13 21:16:14
127
原创 20222927 2022-2023-2 《网络攻防实践》实践九报告
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。本次实践的对象是一个名为pwn1的linux可执行文件。
2023-04-26 18:36:31
173
原创 20222927 2022-2023-2 《网络攻防实践》实践六报告
本次实验,进行了Windows操作系统安全攻防实践,动手实践Metasploit windows attacker,对windows系统远程渗透攻击和分析。通过进行实操,加深了自己对于windows系统安全的理解,提高了自己的动手能力。
2023-04-19 14:24:16
370
原创 20222927《网络攻防实践》实践五报告
本次实践主要运用了iptables的一些指令进行了防火墙的配置,经实践,在配置规则之后,防火墙可以起到防御的作用。还使用snort工具进行了入侵检测,经过对文件的检测和分析报警日志可以了解到防火墙技术和入侵检测技术是如何工作的。
2023-04-05 15:54:57
244
原创 20222927 2022-2023-2 《网络攻防实践》实验三
攻击机向靶机发出握手申请,如果靶机回复[SYN,ACK],说明该端口开放,比如图中的80等端口,这时候攻击机就就不需要回复第三次握手的确认[ACK]了,因为这里只是为了探测端口是否开放,而不是为了真的建立连接,所以回复[RST]即可。从前两个包可以看出,telnet是通过明文的方式一个个字符传输数据的,输入用户名时,我在键盘中键入“l”时,telnet协议使用明文的方式将“l”传输给服务器,服务器回复“l”回显在我们的命令行中。可以过滤出SYN | ACK的数据包,这是目标主机反馈攻击主机的端口活跃信息。
2023-03-15 19:57:23
336
原创 作业实践一 网络攻防环境的搭建,20222927
网络攻防实践以网络攻防环境的搭建为基础,在有限的资源环境条件下,搭建一个专属于自己的网络攻防实验环境,可以进行控制及重复的网络攻防技术实验与实践活动,使得对相关的基础知识与底层机制、攻防技术方法有更深入的理解,并掌握攻防技术技能。靶机:包含系统和应用程序安全漏洞,并作为攻击目标的主机。本次实验选用的靶机为Win2kServer_SP0_target和Metasploitable_ubuntu。攻击机∶安装一些专用的攻击软件,用于发起网络攻击的主机。
2023-03-06 19:48:18
2780
1
原创 [第五空间2019 决赛]PWN5
这里以一个pwn题作为例子,该逆向后的函数结构比自我构建的函数要困难,不再进行我自己编写,直接分析题目。该pwn题涉及搜索中漏洞问题。
2023-03-05 19:53:49
254
原创 逆向基础知识
汇编(x86,用于后面gdb调试)、c、c++、java、python(),c和python(必须要会,简单即可,不需要高深acm算法)ida、jadx(安卓逆向)、python逆向(工具)、gdb、od后两者为调试工具,用于打patch。查找字符串、识别函数、识别常见算法、ida调试、如何打patch、提取数组。查壳工具(手动脱壳和自动脱壳工具)1.逆向所需基础知识。4.简单逆向题目演练。
2023-03-01 10:18:12
653
原创 超级小白对DHCP的理解
我对于DHCP的理解DHCP:动态主机配置协议主要功能:为局域网动态分配IP地址,每加一个电脑,就分配一个ip,不会整出2个相同ip给2个,不会有地址冲突。例如自己家里多一个电脑,DHCP就分配一个地址。可以找找路由器背面ip查看ip地址有相应的DHCP功能有地址起止功能啥的也通过linux来写地址起止2.配合其他服务,实现集成化管理功能特点:c/s模式 c客户机 s主机客户机在不...
2019-12-07 18:23:29
285
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人