- 博客(7)
- 收藏
- 关注
RSS订阅原创 网络渗透测试实验四 CTF实践
1.实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。(Dirb 是一个专门用于爆破目录的工具,在 Kali 中默认已经安装,类似工具还有国外的patator,dirsearch,DirBuster, 国内的御剑)截图。进入后台,找到任意一个PHP页面,然后利用php-reverse-shell.PHP的代码修改该页面的代码。4.利用whatweb探测目标网站使用的CMS模板。
2023-12-27 14:49:49
1247
1
原创 网络渗透测试实验三 XSS和SQL注入
综上所述,XSS和SQL注入是常见的网络安全漏洞,通过渗透测试实验可以发现并修复这些漏洞,保护网站的安全。属于储存型XSS,留言过程中,网站没有对输入框的内容进行严格处理,能够被网页执行留言内容,从而被攻击。为了防止XSS攻击,开发人员应该对用户输入进行严格的过滤和验证,确保任何用户输入的内容都经过正确的编码和转义,以防止恶意脚本的注入。在注入实验中,使用恶意语句成功地进行了注入攻击,获取了数据库中的敏感数据.通过这次实验,我认识到SQL注入漏洞对数据库安全的威胁。查看down到本地的用户名与密码,截图。
2023-12-26 23:51:16
1445
1
原创 网络渗透测试实验二 网络嗅探与身份认证
在过滤器中输入 ftp-data,找到含有1.zip的数据包,右键点击追踪流tcp,发现文件的格式是jpg,一张图片,更换成原始数据保存为压缩文件到物理机中,然后使用暴力破解软件Ziperello,得到密码为123456。(1)通过使用Wireshark软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。3.4 还原ZIP文件并打开(ZIP有解压密码,试图破解,提示:密码全为数字,并为6位)。
2023-12-26 20:42:08
1218
1
原创 网络渗透测试实验一: 网络扫描与网络侦察
①21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器,可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。通过LAC(Location Area Code,位置区域码)和CID(Cell Identity,基站编号,是个16位的数据(范围是0到65535)可以查询手机接入的基站的位置,从而初步确定手机用户的位置。
2023-12-11 11:18:49
1148
1
原创 网络渗透测试3 用Wireshark抓包QQ分析
二、打开Wireshark,点击WLAN,得到流量数据传输包。三、在搜索框搜索oicq,得到QQ的流量数据传输包。(4)追踪流,发现QQ里的数据是加密的。一、下载Wireshark。可以看到我们的QQ账号。四、对数据包进行分析。
2023-12-09 00:57:56
3710
3
原创 网络渗透测试2
Censys:Censys 也是一个针对网络安全领域的搜索引擎,提供了类似 ZoomEye 的功能,可以帮助用户搜索和分析互联网上的设备和服务信息。:一些搜索引擎也可以用来搜索特定域名的子域名信息,例如 Google 搜索引擎的 "site:" 操作符可以用来搜索特定域名下的所有子域名。:常用的命令行工具如 nslookup、dig 和 host 等,可以通过命令行操作来查询特定域名的子域名信息。:一些安全公司提供的API接口也可以用来进行子域名收集,比如 VirusTotal 提供了子域名搜索的功能。
2023-11-19 15:10:02
94
原创 网络渗透测试1
1、Kali虚拟机采用桥接模式;物理机连接Guet-WiFi,Kali中查看网络配置并截图,能获得IP地址吗?2、Kali虚拟机采用桥接模式;物理机连接手机热点,Kali中查看网络配置并截图,能获得IP地址吗?校园网有一定的网络安全措施,这些措施可能导致设备上无法直接获取或显示 ip地址等网络信息。手机热点并未设置相关保护机制,可以直接获取ip地址。1、链接Guet-WiFi:无法获取ip地址。3、对于1、2的结果,进行总结分析。2、链接手机热点:成功获取ip地址。
2023-11-12 23:40:50
92
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人