h118189的博客

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页， 使用户加载并执行攻击者恶意制造的网页程序。这次的实验比前几次的实验较难，主要是在搭建网站时使用的php不太熟悉，因为上学期学的网络编程，使用的是java用于访问数据库，这次使用php又得学习一些php语法，不过好在也不算太复杂。我感到的一个难点就是在实现CSRF攻击的时候，我一直没有特别理解这个攻击的本质含义，导致一直使用错误的方法，导致花了一些时间，不过这也算是让我学习到了这些网络攻击的方式，也是学有所获了。

本次实验难度不大，基本是在使用kali中已有的一些工具，但是从建立冒名网站和DNS spoof的实际操作让我对钓鱼网站或者是类似的攻击方式有了一个深刻的认识。在真实的网络中，如果缺少一点防范意识，确实很容易在不经意见泄露出自己的很重要的信息。不过学习通的网页是使用hash加密的，所以无法直接看到账号密码，如果是一个没有采取类似安全措施的网站，就能够轻松获取明文。问题1解决方案：在网上未发现类似问题后，我想到重启可能能够解决问题，结果在将电脑重启后问题得以解决，靶机的dns被改变，实验成功。

本次实验学习目标是掌握metasploit的基本应用方式，重点常用的三种攻击方式的思路。我进行了以下实践，对msf进行攻击有了更深的理解：1.1 一个主动攻击实践，使用使用漏洞为永恒之蓝（MS17_010）;1.2 一个针对浏览器的攻击，使用漏洞为极光漏洞（MS10_002）；1.3 一个针对客户端的攻击，实施了针对Adobe的漏洞的攻击；1.4 成功应用任何一个辅助模块。

1.学习使用whois,dig,traceroute以及网上在线工具获取域名信息，包括2.尝试获取中某一好友的IP地址，并查询获取该好友所在的具体地理位置。3.使用nmap开源软件对靶机环境进行扫描，并获取以下信息。4.学习使用Nessus开源软件对靶机环境进行扫描，并获取以下信息。5.通过搜索引擎搜索自己在网上的足迹，并确认自己是否有隐私和信息泄漏问题。并练习使用Google hack搜集技能完成搜索。

先查看hash值并查看文件类型信息，kali中有实现该功能的指令可以看到生成了对应的哈希值。本次实验流程较长，也使用了很多各种各样的工具，有些是老师给的，但是我感觉有些如IDA的版本太老了，并不是很好用，于是又去网上找了一个，所以实验的一部分时间都花在下软件卸软件上了。本次实验一开始还是感觉挺不好下手的，尤其是查看字符串的时候，总是一堆完全看不懂的东西，但是参考了学长学姐的资料后，慢慢也按照他们的流程走，也就知道了应该如何操作那些工具以及如何进行对恶意代码进行分析，应该说也算是受益匪浅。