网络空间安全赛题解析-通过伪造获权限获取敏感信息

已于 2023-05-10 10:36:36 修改
阅读量98 收藏
点赞数 3
分类专栏: 网络空间安全 攻防案例 文章标签: 安全 服务器 kali
于 2023-05-10 09:42:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/130593945
版权

目录

        1:题目背景

2:题目描述

3:答案提交

4: 提交key

5: 关卡环境

6:参考步骤

1:题目背景

Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问。Web系统的用户登录及页面操作权限验证在处理逻辑上比较复杂,通过Session和Cookie存储,以及Session和Cookie的过期处理来控制用户身份。

2:题目描述

一个web系统中管理员账户:admin中有一串key,页面只提供了试用账号密码:test  test ,我们需要登录进admin账户获取key来通过本关。

3:答案提交

1、提交得到的key。

2、请提交操作过程报告,报告中要包含操作的关键过程描述并附截图,以WORD方式提交。

4: 提交key

key:I am admin

5: 关卡环境

VPC1(虚拟PC

工具场景:Windows XP操作系统/BT5

VPC2(虚拟PC

Window server xp

软件描述

使用工具场景集成的工具软件,参赛者也可以上传工具软件软件到工具场景。

关卡环境描述

1、学生机与实验室网络直连

2、VPC与实验室网络直连

3、学生机与VPC物理链路连通

6:参考步骤

  1. 打开浏览器,访问http://192.168.102.62。

2.使用账号密码:test test登录。

3.使用Firefox的firebug插件查看cookies。发现只有user段,值为test。

4.将test修改为admin,再次访问页面,得到key:I am admin

 

Cookie:判断用户信息的凭据

存储在本地

Test用户登录产生的cookie信息:

 Admin用户登录产生的cookie信息:

用到的工具:

你可知这世上再难遇我
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[网络安全提高篇] 一一二.DataCon Coremail邮件安全之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
ARP协议深入解析实例-伪造ARP
01-24
ARP协议深入解析实例-伪造ARP ARP协议深入解析实例-伪造ARP
付费专栏传送门 目录 【解析
君逍遥o
05-30 1327
付费专栏传送门 目录 【解析
1.1 信息安全网络空间安全 - 保障您的在线安全
HUANGXIN9898的博客
06-12 848
定义:信息是通过传递和处理的方式,用于传达知识、事实、数据或观点的内容。形式:信息是无形的,可以以多种形式存在,如在姓名、邮箱、身份证号码、工作单位、驾照号码、家庭成员、家庭地址、手机号码等介质中。传递:信息可以通过通信系统进行传输和处理。价值:信息可以包含有价值的内容,能够改变人们的认识、理解和行为。存储:信息可以存储在不同的介质中,如计算机、磁带、纸张等。记忆:信息也可以存在于人的大脑中,即记忆中。
2022第三届全国大学生网络安全精英练习(1)
热门推荐
派大星子的博客
11-20 1万+
2022第三届全国大学生网络安全精英练习(1)
2023年“羊城杯”网络安全 AWDP [Break+Fix] Web方向解wp 全
Jay17的博客
09-16 5789
2023年“羊城杯”网络安全 AWDP [Break+Fix] Web方向解wp 全
[CTF_网络安全] 攻防世界 xff_referer 解详析
qingkahui24689的博客
05-23 1710
[CTF_网络安全] 攻防世界 xff_referer 解详析,该结合抓包改包姿势考察XFF及referer,读者可躬身实践。,我们下次见。
网络安全系统性学习路线「全文字详细介绍」
qingkahui24689的博客
06-04 708
网络安全系统性学习路线「全文字详细介绍」,总共分为65节,这是网络安全的学习路线和简单介绍,根据这个路线学习,你也将会成为一名网络安全大师!!!
网络安全面试大全(整理版)500+面试附答案详解,最全面详细
Z4400840的博客
05-28 570
随着国家政策的扶持,网络安全行业也越来越为大众所熟知,想要进入到网络安全行业的人也越来越多。为了拿到心仪的Offer之外,除了学好网络安全知识以外,还要应对好企业的面试。作为一个安全老鸟,工作这么多年,面试过很多人也出过很多面试目,也在网上收集了各类关于渗透面试目,里面有我对一些问的见解,希望能对大家有所帮助。①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源。
网络安全之几种常见的黑客攻击手段
2401_84208172的博客
05-29 1336
常见的黑客攻击手段常见的攻击手段有:ARP攻击,DoS攻击,DDoS攻击,SYN攻击,缓冲区溢出攻击,等等。下面我将对这几种攻击做个介绍。1 ARP攻击ARP(Address Resolution Protocol)是地址解析协议,是一种利用网络层地址来取得数据链路层地址的协议。ARP欺骗是黑客常用的攻击手段之一,其中最常见的一种形式是针对内网PC的网关欺骗。
计算机网络原理-137第7章 网络安全--篡改和伪造攻击.mp4
07-04
计算机网络原理-137第7章 网络安全--篡改和伪造攻击.mp4
东南大学网络空间安全实验基础——跨站请求伪造攻击实验
07-07
此资源包含完整实验报告(加上你的学号姓名即可提交)
计算机网络教案20-网络安全.docx
12-18
计算机网络安全教案 本教案的主要目标是让学生了解网络...通过本教案,学生将掌握网络安全的基本知识和技能,了解密码学的应用领域和加密系统的基本模型,从而更好地理解网络安全的重要性和机密性、报文完整性的原理。
网络安全课程设计之B包嗅探和包伪造.docx
09-17
考查内容:使用 Scapy 实现局域网内进行包嗅探和包伪造的编程能力。 (Linux 类型不限) 实验内容:1)使用 python 语言编写包嗅探程序,并实时显示包嗅探的数据包信息。 2)使用 python 语言编写包伪造程序,并...
等保测评和安全运维
weixin_64392888的博客
06-11 628
通过将等保测评的标准和流程融入日常的安全运维工作中,企业可以更有效地识别和应对网络安全威胁,构建起一个全面、动态的网络安全防护体系。为了应对这些挑战,企业不仅要实施有效的安全运维措施,还需要通过等保测评确保其信息系统符合国家的安全标准。等保测评提供了一套标准化的安全要求,安全运维团队可以根据这些要求,实施相应的安全措施,如加强访问控制、数据加密、网络安全防护等。通过等保测评,企业可以识别信息系统的安全风险,并根据测评结果制定或调整安全策略,确保安全措施与企业的实际需求相匹配。
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1296
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
如何确保数据跨域交换安全、合规、可追溯性?
最新发布
文件数据安全交换
06-14 226
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问:明文传输,容易被截和窃取;
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 945
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
计算机网络 用户信息伪造
08-29
2. MAC地址伪造:MAC地址是网络设备的唯一标识符,攻击者可以通过修改或伪造MAC地址来欺骗网络系统,获取未经授权的访问权限或绕过网络访问控制。 3. 会话劫持:攻击者可以通过窃取用户的会话标识符或会话令牌来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值