- 博客(13)
- 资源 (2)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 WEB漏洞-逻辑越权
目录33、逻辑越权之水平垂直越权原理一、Pikachu-本地水平垂直越权演示(漏洞成因)1.水平越权2.垂直越权3.越权漏洞产生的原理解析:二、墨者水平-身份认证失效漏洞实战(漏洞成因)三、越权检测-小米范越权漏洞检测工具(工具使用)四、越权检测-Burpsuite插件Authz安装测试(插件使用)1.在burpsuite中插件管理找到Authz安装2.登录mozhe靶场test用户抓包,抓取card_id3.pikachu中测试34、逻辑越权之支付...
2022-04-30 00:15:13
1001
原创 WEB漏洞-文件操作
目录31、文件操作之文件包含漏洞全解一、本地文件包含代码测试——原理1.无限制包含漏洞文件2.有限制文件包含漏洞二、远程文件包含代码测试——原理1.无限制2.有限制三、各种协议流提交流测试-协议四、某CMS程序文件包含利用-黑盒(ekucms)五、CTF-南邮大学,i春秋百度杯真题-白盒1.南邮CTF2.i春秋-CTF31、文件操作之文件包含漏洞全解一、本地文件包含代码测试——原理1.无限制包含漏洞文件在phpstudy根目录下创建inc
2022-04-26 18:50:37
1937
转载 实验八、Windows本地破解用户口令
一、实验目的及要求1、了解Windows2000/XP/Server 2003系统密码的加密机制及其脆弱性;2、学会使用Windows本地密码破解工具来破解密码跟审计密码的安全性;3、了解设置健壮的Windows口令,以及配置强壮的密码策略的必要性。二、实验原理1.Windows NT 系统密码存储的基本原理 SAM(Security Accounts Manager 安全账户管理器)是Windows NT 内核操作系统,包括Windows2000/XP/Server 20...
2022-04-24 18:01:31
3213
转载 实验七:本地系统密码破解
目录一、实验目的及要求二、实验原理三、实验环境四、实验步骤及内容4.1WindowsXP系统密码破解4.2为Guest设置一个密码4.3设置参数五、实验总结六、分析与思考一、实验目的及要求1、了解本地系统密码的破解;2、熟悉掌握暴力破解和字典破解;二、实验原理暴力破解是一种针对于密码的破译方法。这种方法很像数学上的“完全归纳法”并在密码破译方面得到了广泛的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为止。利用这种方法我们可以运用计算机来进行
2022-04-23 12:28:07
1239
1
转载 实验六:暴力破解
一、实验目的及要求通过该实验熟悉爆破的原理和Burp suite的使用二、实验原理1、DVWA(Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。其主要目标是成为一个帮助安全专业人员,以测试他们的技能和工具,在法律环境允许下,帮助Web开发人员更好地理解保护Web应用程序和援帮助教师/学生教/学在教室环境的Web测试应用程序安全的过程。2、B
2022-04-23 12:07:01
1280
转载 实验五:系统检测维护工具Wsycheck使用
一、实验目的及要求(1)学习Wsycheck的基本功能;(2)掌握Wsycheck的基本使用方法;二、实验原理windows操作系统的基本知识如:进程、网络、服务和文件等的了解。Wsycheck是一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等一应俱全。也可以理解为一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。三、实验环境Windows XP SP3四、实验步骤及内容4.1:了解程序主界面4.1.
2022-04-22 17:53:02
964
转载 实验四:windows安全策略与安全模板
目录一、实验目的及要求二、实验原理2.1安全模板2.2安全策略三、实验环境四、实验步骤及内容4.1安全模板之用武之地4.1.1管理组4.1.2调整NTFS权限4.1.3启用和禁用服务4.1.4调整注册表授权4.1.5控制本地安全策略设置4.2创建安全模板4.2.1设置工具4.2.2创建模板五、实验总结六、分析与思考一、实验目的及要求1、理解安全模板的功能;2、学习安全模板的创建;二、实验原理2.1安全模板安全模板
2022-04-22 17:23:34
2782
1
原创 实验二:漏洞扫描之Nessus
目录一、实验目的及要求二、实验原理三、实验环境四、实验步骤及内容4.1Nessus的使用4.2 Policies五、实验总结六、分析与思考一、实验目的及要求掌握漏洞扫描器Nessus的安装及使用对扫到的漏洞进行了解或者进一步的利用拿到权限二、实验原理 漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。 从防御的角度上考虑,漏洞扫描技术是一类...
2022-04-18 15:57:32
8354
原创 Linux下实现蜜罐系统
一、实验目的和要求1.局域网内联网的两台主机2.其中一台为Linux操作系统主机用作安装“蜜罐”3.另一台主机,对蜜罐进行扫描,可用扫描软件二、实验环境服务器:unbuntu20.04(192.168.159.129)蜜罐:HFish攻击机:kali2019(192.168.159.128)数据库:mysql5三、实验原理3.1 蜜罐技术概述蜜罐是一种软件应用系统,用来称当入侵诱饵,引诱黑客前来攻击。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵
2022-04-18 14:39:07
6477
原创 实验一:端口扫描(X-scan)
一、实验目的及要求掌握使用X-scan对目标主机进行综合检测,查看相关漏洞信息。二、实验原理计算机通过各个端口与其他设备交换信息,每一个打开的端口都是一个潜在的通信通道,同时也意味着是一个可入侵的通道。对目标计算机进行端口扫描,就能得到许多有用的信息。端口扫描可以通过手工进行扫描,也可以用端口扫描器进行扫描。扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本,可以直观了解到存在的安全问题。X-sca
2022-04-18 14:22:20
9992
2
原创 实验三:Windows7操作系统安全
一、实验目的及要求了解Windows账户与密码的安全策略设置,掌握用户和用户组的权限管理、审核,以及日志的启用,并学会使用安全模版来分析配置计算机。二、实验原理Windows系列是目前世界上使用用户最多的桌面操作系统。由于历史原因,Windows的很多用户都直接以管理员权限运行系统,对计算机安全构成很大隐患。从Windows Vista开始,Windows加强了用户账户控制的管理,使用“用户账户控制”(User Account Control,UAC)模块来管理和限制用户权限。UAC体现了最小特
2022-04-18 13:32:46
2504
原创 Linux 下实现虚拟专用网(PPTP)
一、实验目的及要求两台主机,其中一台为linux主机作服务器,另一台为windows主机为vpn客户端,实现访问(不同网段下)。二、实验环境Ubuntu4:VPN服务器Windows7:VPN客户端三、实验原理1、vpn VPN(Virtual Private Network):即虚拟专用网,其功能是在公用网络上建立专用网络,并且进行加密通讯。在企业网络中有广泛应用,其主要是用来进行远程登录。让外地员工访问到内网资源,利用VPN的解决方法就是在内网中架设一台VPN服务器...
2022-04-15 09:07:24
2955
原创 Linux防火墙配置
一、实验目的及要求1.不允许外网不经过防火墙与内网进行通信2.允许内网用户通过防火墙访问外部HTTP、HTTPS服务器3.允许内网用户通过防火墙访问外部FTP服务器二、实验环境3台Ubuntu虚拟机Ubuntu 64位:内网(服务器)Ubuntu 2 :网关(防火墙)Ubuntu 3:外网注:Ubuntu的可视化操作较为便利,这里使用Ubuntu易于进行网段和ip地址的设置。三、实验原理1.防火墙的概念 防火墙(firewall)是位于内部网和...
2022-04-15 00:15:02
2556
TA创建的收藏夹 TA关注的收藏夹
TA关注的人