- 博客(30)
- 收藏
- 关注
原创 2023年中职“网络安全“—Web 渗透测试②
在uploads/的后面输入%00,然后进行url进行解码,解码成一个不可见的字符。添加X-Forwarded-For后提示需要管理员才能登录,我们尝试把cookie的值改为1试试。php://filter 读取当前⻚⾯,在当前⻚⾯内容发现flag值。提示输入数字查询,猜测考的应该是sql注入,我们用sqlmap跑一下。提示我们只能本地访问,那我们就利用burp,添加一个本地访问的包。发现一个index.php.bak,访问之后获得flag。访问页面,发现一张图片,没有其他有用的信息。
2023-11-19 02:33:00 1225 1
原创 2023年中职“网络安全“—Web 渗透测试①
但这时候提交还是不了,发现上面有个传入参数为success(成功),但是值为false(假),我们要把值改为true。访问页面task4页面,第一个让我们选择偶数,第二个让我们输入 I am hare,第三个让我们选择ssh的端口号。访问/task2发现一串英文,没有题目中所需的登录框,我们再次尝试访问index.html这个网页找到登录框。当点击提交的时候,发现按钮无法点击,猜测可能是前端代码控制,我们F12删除代码。根据题目访问网页,发现是一个空白页面,我们尝试查看网页源代码,也是什么都没有。
2023-11-18 23:47:08 1700 1
原创 Python3语法总结-数据转换②
有时候我们,需要对数据内置的类型进行转换,数据类型的转换。隐式类型转换 - 自动完成显式类型转换 - 需要使用类型函数来转换。
2023-11-18 15:28:23 175
原创 Python3语法总结-基本数据类型①
标识符是指程序中定义的一个名字,如变量名,数组名,方法名,类名标识符的命名规则:1.通常是以字母,数字,下划线组成;2.不能以数字开头;3.不能是关键字;4.变量名区分大小写;关键字是指Python3语言中以及赋予了特定意义的一些专用单词。
2023-11-17 17:09:04 224
原创 vulnhub靶场—matrix-breakout-2-morpheus靶机
我使用的是kali自带的反弹shell,使用之前要先修改一下php-reverse-shell.php里面的ip和端口。修改完成后,我们把php-reverse-shell.php里面的内容复制到burp,然后burp进行抓包修改。发现81端口需要用户链接,尝试弱口令失败,那就先收集一波域名使用工具dirb和gobuster。发现输入字符,居然插入了网页界面了,并且在/graffiti.txt也有存在。插入成功,然后我们nc监听之前我们设置的端口,访问shell.php这个文件。
2023-11-17 15:35:26 548
原创 2023年中职“网络安全“—JavaScript安全绕过
题目存在泄露flag与题目地址,解决方法可以把运算过程给php处理,然后在由php判断是正确,最后在下方下一题地址,在下一题地址弹出flag拿flag可以直接使用curl 网页地址这样更为便捷。
2023-11-15 14:36:45 413
原创 2023年中职“网络安全“—网络安全应急响应
为什么会出现在这个文件夹看了下面的你就懂了,然后还原黑客篡改过得,其实原来的.bashrc也没给,所以直接用这个。 用户名:root,密码:p@ssw0rd123。 服务器场景:Server2228(开放链接)
2023-06-01 22:43:37 359
原创 2023年中职“网络安全“—数字调查取证(attack817.pcapng)
FTP用户名: attack817 密码:attack817。 服务器场景:FTPServer20221010(关闭链接)学习交流,或者遇到不会的可以+qq:3455475542。思路:先找到黑客的ip地址,然后寻找http服务的包。这种包一般在最后面,我们选择保存最后一个包。找到黑客ip为192.168.1.26。 服务器场景操作系统:未知。文件->导出对象->http。
2023-05-31 23:17:15 826
原创 2022年中职“网络安全“江西省赛题—B-6:数据分析(wire0077.pcap)
从靶机服务器的FTP上下载数据包文件,分析该文件,找出黑客入侵使用的协议,提交协议名称。分析该文件,找出黑客入侵获取的zip压缩包文件,提交压缩包文件名。分析该文件,找出黑客入侵获取的敏感文件,提交该敏感文件泄露的时间。分析该文件,找出黑客入侵获取的敏感文件,提交敏感文件的文件名。学习交流,或者遇到不会的可以+qq:3455475542。ü FTP用户名:infoacq密码:infoacq。ü 服务器场景:FTPServer(关闭链接)
2022-12-29 09:36:19 1377 1
原创 2022年中职“网络安全“江西省赛题—B-4:Web安全渗透测试
学习交流,或者遇到不会的可以+qq:3455475542。ü 服务器场景名称:Server2010(关闭链接)ü 服务器场景操作系统:未知。
2022-12-29 09:28:15 2093
原创 2022年中职“网络安全“江西省赛题—B-2:应用服务漏洞扫描与利用
学习交流,或者遇到不会的可以+qq:3455475542。 服务器场景:Server2115(关闭链接)B-2:应用服务漏洞扫描与利用。 服务器场景操作系统:未知。
2022-12-29 09:14:25 584
原创 2022年中职“网络安全“江西省赛题解析—B-1:Windows操作系统渗透
学习交流,或者遇到不会的可以+qq:3455475542。ü 服务器场景操作系统:Windows(版本不详)ü 服务器场景:Server2105(关闭链接)
2022-12-29 09:09:45 891
原创 2022年中职组“网络安全”赛项吉安市竞赛解析
你尝试利用各种攻击手段,攻击特定靶机,以便了解最新的攻击手段和技术,了解网络黑客的心态,从而改善您的防御策略。假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录和密码策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。5.赛场根据难度不同设有不同基础分值的靶机,对于每个靶机服务器,前三个获得flag值的参赛队在基础分上进行加分,本阶段每个队伍的总分均计入阶段得分,具体加分规则参照赛场评分标准;
2022-09-08 09:03:12 4780 1
原创 2021年中职“网络安全“江西省赛题—B-10:网页渗透
学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542任务环境说明: 服务器场景:Server21 服务器场景操作系统:未知(封闭靶机) 用户名:未知 密码:未知7. 访问服务器网站目录5,根据页面信息完成条件,将获取到的flag提交;...............
2022-06-14 10:04:35 2421
原创 2021年中职“网络安全“江西省赛题—B-9:Windows操作系统渗透测试
学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542任务环境说明: 服务器场景:Server05 服务器场景操作系统:Windows(版本不详)(封闭靶机)通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景桌面上111文件夹中唯一一个后缀为.docx文件的文档内容作为Flag值提交;通过本地PC中渗透测试平台Kali对服务器场景进行渗透测试,将该场景桌面上222文件夹中唯一一个图片中的英文单词作为Flag值提交;...
2022-06-12 11:12:38 3988 1
原创 2021年中职“网络安全“江西省赛题—B-8:Web渗透测试
学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542任务环境说明: 服务器场景:Server03 服务器场景操作系统:未知(关闭连接)通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,使用相关的渗透测试手段,获取到WEB权限,使用相关指令获取到当前linux用户UID为5的用户,将该用户的用户名称作为Flag进行提交;通过本地PC中的渗透测试平台Kali对靶机进行WEB渗透,找到页面内的文件上传漏洞并且尝试进行上传攻击,
2022-06-01 14:45:07 2208
原创 2021年中职“网络安全“江西省赛题—B-7:渗透测试
2021年中职"网络安全"江西省赛题—B-7:渗透测试学习交流B-7:渗透测试学习交流学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542B-7:渗透测试任务环境说明: 服务器场景:Server09 服务器场景操作系统:未知(关闭连接) 系统用户名:administrator密码:123456通过本地PC中渗透测试平台Kali对靶机场景进行系统服务及版本扫描渗透测试,以xml格式向指定文件输出信息(使用工具Nmap),将以xml格式向指定文件输出信息必须要使
2022-05-30 15:38:19 2596 1
原创 2021年中职“网络安全“江西省赛题—B-6:流量分析
2021年中职"网络安全"江西省赛题—B-5:应急响应学习交流B-6:流量分析学习交流学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542B-6:流量分析任务环境说明: 服务器场景:Server09 服务器场景操作系统:未知(关闭连接) 系统用户名:administrator密码:123456使用Wireshark查看并分析靶机桌面下的capture.pcapng数据包文件,找到黑客的IP地址,并将黑客的IP地址作为Flag值(如:172.16.1.1)提交
2022-05-29 18:23:48 2171 1
原创 2021年中职“网络安全“江西省赛题—B-5:应急响应
2021年中职"网络安全"江西省赛题—B-5:应急响应学习交流B-5:应急响应学习交流学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542B-5:应急响应任务环境说明: 服务器场景:Server10 服务器场景操作系统:未知(开放链接)黑客通过网络攻入本地服务器,在Web服务器的主页上外挂了一个木马连接,请你找到此连接并删除该连接,将对应的标题名称作为flag值提交;由于这题在比赛的时候是开放链接的,这样就比较简单了,直接连接然后查看网站目录,发现几个php文
2022-05-27 11:05:32 3246 1
原创 2021年中职“网络安全“江西省赛题—B-4:SQL注入测试(PL)
2021年中职"网络安全"江西省赛题—B-4:SQL注入测试学习交流B-4:SQL注入测试(PL)学习交流学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542B-4:SQL注入测试(PL)任务环境说明: 服务器场景:Server12 服务器场景操作系统:未知(关闭链接)已知靶机存在网站系统,使用Nmap工具扫描靶机端口,并将网站服务的端口号作为Flag(形式:Flag字符串)值提交。nmap -p- ip -sV 扫描靶机flag:[8089]访问网
2022-05-25 20:33:53 1525
原创 2021年中职“网络安全“江西省赛题—B-3:应用服务漏洞扫描与利用
2021年中职"网络安全"江西省赛题—B-3:应用服务漏洞扫描与利用学习交流B-3:应用服务漏洞扫描与利用学习交流学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542B-3:应用服务漏洞扫描与利用任务环境说明: 服务器场景:Server15 服务器场景操作系统:未知(关闭链接)使用命令nmap探测目标靶机的服务版本信息,将需要使用的参数作为FLAG进行提交;nmap -sV ip 扫描flag:[sV]通过上述端口访问靶机系统并探测隐藏的页面,将找到的敏感
2022-05-25 09:29:14 3464
原创 2021年中职“网络安全“江西省赛题—B-2:Linux操作系统渗透测试
2021年中职"网络安全"江西省赛题—B-2:Linux操作系统渗透测试学习交流B-2:Linux操作系统渗透测试学习交流学习交流(要环境的可以滴滴),或者遇到不会的可以+qq:3455475542B-2:Linux操作系统渗透测试任务环境说明: 服务器场景:Server06 服务器场景操作系统:Linux(版本不详)(关闭连接)nmap -p- -sV ip 扫描靶机端口使用命令msfconsole打开Metasploit渗透测试平台,使用search命令搜索模块mysql暴力破解模
2022-05-23 20:50:38 5432
原创 2021年中职“网络安全“江西省赛题—B-1:系统漏洞利用与提权
B-1:系统漏洞利用与提权任务环境说明: 服务器场景:PYsystem001 服务器场景操作系统:Ubuntu(显示链接) 服务器用户名:未知 密码:未知使用nmap扫描靶机系统,将靶机开放的端口号按从小到大的顺序作为FLAG(形式:[端口1,端口2…,端口n])提交;通过上述端口访问靶机系统,使用弱口令进行登录,将正确的用户名和密码作为FLAG(形式:[用户名,密码])提交;利用Kali渗透机生成反弹木马,将生成木马命令执行后提示的第四行的首个单词作为FLAG(形式:[单词])提交;
2022-05-23 15:01:01 4655 2
原创 2021年中职“网络安全“江西省赛题—A模块解析
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档2021年中职"网络安全"江西省赛题—A模块解析学习交流A模块基础设施设置/安全加固(200分)A-1:登录安全加固1.密码策略(web)2.登录策略(web)3.用户安全管理(web)A-2:Web安全加固(Web)A-3:流量完整性保护与事件监控(Web,Log)A-4:防火墙策略A-5:Windows操作系统安全配置A-6:Linux操作系统安全配置学习交流学习交流,或者遇到不会的可以+微信:wxid_8lz3hu0gcp6m2.
2022-05-19 11:03:00 10459 5
2023年内蒙古自治区中职网络安全赛题-B模块
2023-06-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人