实习实训第一次作业

已于 2024-08-28 17:03:26 修改
阅读量799 收藏 15
点赞数 17
文章标签: 前端 网络 服务器
于 2024-08-27 20:48:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amily666/article/details/141611621
版权

目录

任务一: 关卡复现(基于bp的内嵌浏览器进行抓包)

任务二:Python,java环境安装成功截图

任务三:内外网互联的方法

任务一: 关卡复现基于bp的内嵌浏览器进行抓包

1.基于表单的暴力破解

使用内嵌浏览器打开网址即会被抓包,点击proxy中的放行可以使网站正常显示。打开是一个登录界面:

首先随便输入一个账号和密码,进行bp抓包(例如:此处输入用户名为1,密码为1)

然后右键发送到Intruder准备暴力破解

        1)转入Intruder界面,选择攻击方式(Attack type):狙击手-单个payload(sniper)。分别选中username和password输入的数据进行标记,点击Add$。

设置payload集,手动输入数据(同时还可以对资源池和设置里的错误处理设置参数)

点击开始攻击,结果如下(但狙击手只能替换其中一个参数,适用于知道账户名和密码其中之一的情况),攻击未成功

        2)转入Intruder界面,选择攻击方式(Attack type):交叉-多个payload集(pitchfork)。分别选中username和password输入的数据进行标记,点击Add$,并设置payload集

点击开始攻击,结果是一对一的形式(根据payload集里的位置一一对应),破解成功。

然后点击右键发送到repeater

点击发送,在右边选择页面渲染,显示登录成功

        3)转入Intruder界面,选择攻击方式(Attack type):集束炸弹-多个payload集合(clusterbomb)。分别选中username和password输入的数据进行标记,点击Add$。

随后进入Payloads模块,在payload set 1位置,也就是username位置,上传关于我们的账号的字典,在2位置选择我们的密码字典,这里如果没有字典,可以去网上查找,或者直接手动添加爆破的数据随后点击右上角开始攻击进行爆破

爆破结束后,我们可以根据返回数据长度来判断正确的账号密码,返回长度不同于其他数据包的,就是正确的账号密码,此处账号:admin 密码:123456

然后点击右键发送到repeater

点击发送,在右边选择页面渲染,显示登录成功

2.验证码绕过(on server)

点击进入后是一个登录界面,需要用户名,密码和验证码

输入错误的用户名、密码和验证码后提示验证码错误但输入正确的验证码后提示输入用户名和密码错误而每次页面刷新,验证码也会随之刷新

进行抓包,输入正确的验证码,但输入错误的用户名和密码,使用proxy拦截

发送到repeater中修改用户名和密码,点击发送,结果一样

所以得出结果,页面不刷新,那么验证码就不会变,那么剩下的操作就和之前的一样,只需要对用户名和密码进行爆破即可

1)Sniper(只对单个目标,因此我们选择正确的账户名,对密码进行爆破)

选中password输入的数据进行标记,点击Add$。

手动输入密码字典或引入密码字典在payload中

点击开始攻击进行爆破,结果显示123456为正确的登录密码

右键发送到repeater进行重放,修改密码的数据为123456,点击发送,显示登录成功

2)Pitchfork

分别选中username和password输入的数据进行标记,点击Add$

引入账号字典和密码字典(这里选择手动输入)

点击开始攻击进行账号密码爆破,结果显示admin和123456是正确的用户名和密码

右键发送到repeater中修改username和password的数据为admin和123456,登录成功

3)Clusterbomb

分别选中username和password输入的数据进行标记,添加$

引入账号字典和密码字典(这里选择手动输入)

点击开始攻击进行账号密码爆破,结果显示admin和123456是正确的用户名和密码

右键发送到repeater中修改username和password的数据为admin和123456,登录成功

  

任务二:Python,java环境安装成功截图

任务三:内外网互联的方法

端口映射:端口映射就是将内网中的主机的一个端口映射到外网主机的一个端口,提供相应的服务。当用户访问外网IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。

VPN:虚拟专用网络(Virtual Private Network,VPN)是专用网络的延伸,它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。

代理服务器:代理服务器是网络信息的中转站,是个人网络和lnternet服务商之间的中间代理机构,负责转发合法的网络信息,对转发进行控制和登记。

反向代理:位于内外网之间,负责将外部的请求转发到内网服务器上处理。他不仅可以实现内外网互联,还能提供负载均衡、缓存、SSL加密等功能

跳板机:一种网络安全设备或计算机,用于管理和保护内部网络中的其他计算机或系统。通常位于内部网络和外部网络之间,充当连接这两个网络的中间节点或跳板。

amily666
关注
重邮毕业实习实训作业2
Biangmaster的博客
08-27 1029
使用-f参数可以指定自己的字典文件。
实习实训第二次作业
amily666的博客
08-28 677
询消息方法1:查看CDN历史记录方法2:查询子域名方法3:网络空间引擎搜索法方法4:利用SSL证书寻找真实原始IP方法5:利用HTTP标头寻找真实原始IP方法6:利用网站返回的内容寻找真实原始IP方法7:使用国外主机解析域名方法8:网站漏洞查找方法9:网站邮件订阅查找方法10:用Zmap全网扫方法11:F5 LTM解码法子域名收集通常分为两种方式,分别为被动收集和主动收集。被动收集是指,在不与目标系统进行交互的情况下,通过第三方进行收集。
实习实训第八次作业
amily666的博客
09-08 755
RCE(remote command/code execute,远程命令执行)漏洞,允许攻击者在目标系统上远程注入并执行任意代码。这种漏洞通常是由于应用系统在处理用户输入或与外部环境交互时,未能进行充分的安全验证和过滤,导致攻击者能够提交恶意输入,进而触发代码执行。
实习实训第六次作业
amily666的博客
09-03 582
1.CSRFCSRF(即跨站请求伪造)是指利用受害者尚未失效的身份认证信息、(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害人的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(转账,改密码等)。2.XSSXSS(跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。
实习实训第七次作业
amily666的博客
09-05 800
如果对文件上传路径变量过滤不严,并且对用户上传的文件后缀以及文件类型限制不严,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器
实习实训第十一次作业
amily666的博客
09-11 278
1. 准备阶段对信息网络系统进行初始化快照并准备应急响应工具包。2. 检测阶段:系统维护人员使用初级检测技术进行检测,确定系统是否出现异常;若有,则需要形成安全报告。3. 抑制和根除阶段:对攻击所影响的范围、程度进行扼制,通过采取各种方法,控制、阻断、转移安全攻击。抑制阶段主要是针对前面检测阶段发现的攻击特征;根除阶段是在抑制的基础上,对引起该类安全问题的最终技术原因在技术上进行完全的杜绝,并对这类安全问题所造成的后果进行弥补和消除。4. 恢复阶段:删除并恢复所有变化,实施安全加固。
实习实训第五次作业
amily666的博客
09-02 979
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令, 这样的话,远程用户就不仅能向Web应用输入数据,而且还可以在数据库上执行任意命令了。
实习实训第九次作业
amily666的博客
09-09 494
添加用户:useradd username设置密码:passwd username删除用户:userdel username切换用户:su username用户提权:sudo command(能不能执行某个操作以配置文件为准)新建用户组:groupadd groupname删除用户组:groupdel groupname将用户添加到用户组:usermod -G groupname username将用户从用户组中移除:deluser username groupname。
实习实训第十次作业
amily666的博客
09-09 707
Linux 内核提权是利用Linux内核的漏洞进行提权的。1. 扫描网段,以发现目标主机。可用nmap等工具进行主机发现。2. 信息收集,查找是否存在RCE漏洞。可用浏览器对目标主机进行搜索,利用插件工具对网页进行分析,可从代码类型,使用的数据库、内存管理等系统版本入手。3. 获取到目标系统内核信息及版本信息。可借助msf破解RCE漏洞,拿到shell权限并执行命令获取目标主机的内核信息等。4. 根据内核版本获取其对应的漏洞以及EXP。可通过搜索或借助工具进行查找。
实训python的日记_python实训第一天
weixin_34805048的博客
12-24 982
实训第一天总结:# 常量(常量也是变量,在python中大家都规定只要是大写的变量都称之为常量)# 用户与程序交互# 数字类型# 整型int# 浮点型float# 字符串类型# 列表类型# 字典类型# 在{}内,都逗号隔开,可存放多个值,每个值以key: value的形式存储# 存# dict1 = {'name': "tank", "age": 18} # {name="tank", "age...
c语言实训的总目的意义,C语言实训总结
weixin_42524762的博客
05-23 2474
C语言实训总结总结是指对某一阶段的工作、学习或思想中的经验或情况加以总结和概括的书面材料,通过它可以全面地、系统地了解以往的学习和工作情况,不如立即行动起来写一份总结吧。总结怎么写才能发挥它的作用呢?以下是小编整理的C语言实训总结,供大家参考借鉴,希望可以帮助到有需要的朋友。C语言实训总结1一、充分准备,使学生明确实训的目的与要求本次实训的目的是要求学生通过熟练运用Turbo C 2.0的开发环境...
计算机ppt实训报告总结,计算机实训总结模板
weixin_39710462的博客
07-25 2575
随着信息时代的发展,计算机已经被广泛的运用到了生活和工作当中。来说说你的实训情况吧!下面是由出国留学网小编为大家整理的“计算机实训总结模板”,仅供参考,欢迎大家阅读。计算机实训总结模板(一)时间过得真快,转眼间为期一周的实训已经结束。经过这一周的实训练习让我们学到了许多知识,回头想想实训这几天我们确实是有很大收获的。一周,看似很简短的时间,实际上按小时计算120小时却是个不小的数字,也许有些牵强。...
javaee实训报告总结_javaee实习报告.doc
weixin_39713219的博客
12-19 1847
javaee实习报告javaee实习报告数学与计算机学院实 验 报 告(2012 / 2013 学年 第 1 学期)???234篇二:java毕业实习报告java毕业实习报告java毕业实习报告(一)作为就业培训,项目的好坏对培训质量的影响非常大,常常是决定性的作用。这篇文章是关于在学习JAVA软件开发时练习项目的总结,简单总结为以下几点:1、项目一定要全新的项目,不能是以前做过的2、项目一定...
-webkit-box-reflect属性与倒影效果的实现
最新发布
读心悦
09-13 432
是一个非标准的 CSS 属性,主要用于在 WebKit 浏览器(如 Chrome 和 Safari)中创建元素的倒影效果。这个属性并不是 CSS 规范的一部分,但在实践中经常被用来实现简单而有趣的视觉效果。
Vue使用query传参Boolean类型,刷新之后转换为String问题
q879936814的博客
09-12 429
要解决这个问题,不能直接Boolean处理,因为如果传入false,那么转换成字符串,Boolean(‘false’)会变成true;做项目时发现第一次进入页面时传参是正常的Boolean类型,刷新之后变成了String,这是浏览器进行的一次强制转换;解决方法:使用JSON.parse处理参数。
计算机毕业设计 基于SpringBoot的课程教学平台的设计与实现 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试
weixin_19164791635
09-12 941
本文介绍了一款基于Java、SpringBoot和Vue.js技术的课程教学平台。该平台服务于管理员、学生和教师,提供教学资源管理、课程信息浏览、作业提交与批改等功能,旨在优化教学流程,提升教育质量,促进教育资源的数字化共享,推动教育信息化发展。
(微服务项目)新闻头条——Day1
weixin_73253843的博客
09-13 1142
(微服务项目)新闻头条——Day1
一文读懂 JS 中的 Set 结构
沐爸的博客
09-11 1020
Set 如何使用?和 Map 有什么区别?有哪些属性和方法?又有哪些使用场景?WeakMap 又是什么?
电子工艺实习实训手册:锡焊技术与产品制作
本资料是一份针对本科及大专电子专业学生的电子工艺实训实习指导手册,旨在帮助学生掌握基本的电子工艺知识和技能,包括焊接技术、元器件识别与检测、单片机应用以及电子产品设计流程。在实习过程中,学生将通过一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值