网络安全实训Day24(End)

这篇具有很好参考价值的文章主要介绍了网络安全实训Day24(End)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

写在前面

并没有完整上完四个星期,老师已经趁着清明节假期的东风跑掉了。可以很明显地看出这次持续了“四个星期”实训的知识体系并不完整,内容也只能算是一次基础的“复习”。更多的内容还是靠自己继续自学吧。

网络安全实训Day24(End),web安全,安全,笔记

网络空间安全实训-渗透测试

  • 文件包含攻击

    • 定义

      • 利用页面中include文件包含函数,自行构造页面路径来使页面中包含超出网站限制的内容

    • 类型

      • 本地文件包含

        • 包含的路径位于服务器本机

      • 远程文件包含

        • 包含的路径位于网络中的其他位置

      • PHP伪协议

        • php://filter/resource=文件路径

          • 直接调用文件

        • php://filter/read=convert.base64-encode/resource=文件路径

          • 获取目标文件源代码的Base64加密密文

        • php://input

          • 构造一个POST的参数传递,将恶意代码或文件路径构造在数据包中进行POST传递

        • data: text/plain,PHP代码

          • 在URL中构造PHP代码在网站中执行

        • data:text/plain;base64,Base64编码后的PHP代码

          • 在URL中构造PHP代码在网站中执行

          • Base64加密后的+和=需要进行URL编码

          • +

            • %2b

          • =

            • %3d

    • 常见防御方法

      • 对用户提交的变量进行安全检查和过滤

  • 权限维持

    • 1.开启目标主机的远程控制服务

      • RDP

      • Telnet

      • SSH

      • VNC

    • 2.创建超级隐藏账户

      • 1.手动创建账户

        • 账户名最后必须用$结尾

      • 2.在注册表中,将管理员的F值复制给后门账户

        • HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

        • 需要手动给SAM文件夹赋予权限

      • 3.在注册表中,将后门账户的注册表项导出

      • 4.手动删除后门账户

      • 5.将之前导出的注册表项导回到系统

    • 3.反弹式远程控制木马

      • 优点

        • 肉鸡主动连接控制端,无需担心肉鸡IP地址变更

        • 肉鸡在内网也可以主动连接到控制端

    • 4.清除日志

      • Windows系统日志

        • 事件管理器中清除

      • IIS的访问日志

        • C:\inetpub\logs\LogFiles

      • Linux系统日志

        • /var/log

      • Apache的访问日志

        • /var/log/apache2/access.log

网络安全实训Day24(End),web安全,安全,笔记文章来源地址https://www.toymoban.com/news/detail-859602.html

到了这里,关于网络安全实训Day24(End)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全笔记第二天day2(等级保护)

    1.网络协议安全 1.1等级保护阶段  等级保护1.0:由国家1994年颁发的《中国人民共和国计算机信息系统安全保护条列》(国务院令147号) 等级保护2.0:2019年12月,网络安全等级保护2.0国家标准正式实施 新等保系列标准目前主要有6个部分 一、GB/T 22239.1 信息安全技术网络安全等级

    2024年02月07日
    浏览(36)
  • Web 学习笔记 - 网络安全

    目录 m前言 正文 XSS 攻击 简单示例 XSS 防御 CSRF  Web 安全方面的基本知识是有很必要的,未必就要深入理解。本文主要介绍常见的网络攻击类型,不作深入探讨。 网络攻击的形式种类繁多,从简单的网站敏感文件扫描、弱口令暴力破解,到 SQL 注入,再到复杂的网络劫持等,

    2023年04月24日
    浏览(45)
  • 网络安全笔记-day5,服务器远程管理

    windows远程有两种类型: 1.远程桌面(图形化) 2.telnet(命令行) 准备两台虚拟机,我用的是winsowsXP和windowsServer2003 1.将两台设备连接到一个交换机下 2.配置IP地址 windowsXP ip:192.168.1.2 子网掩码:255.255.255.0 windowsServer2003 ip:192.168.1.3 子网掩码:255.255.255.0 测试是否能通信 打开winsow

    2024年04月16日
    浏览(59)
  • 网络安全B模块(笔记详解)- Web渗透测试

    1.通过渗透机Kali1.0对服务器场景PYsystem20192进行Web渗透测试(使用工具w3af的对目标Web服务器进行审计),在w3af的命令行界面下,使用命令列出所有用于审计的插件,将该操作使用的命令作为Flag值提交; 进入kali命令控制台中使用命令w3af_console进入w3af命令行模式,通过输入命令

    2024年01月25日
    浏览(50)
  • 网络安全B模块(笔记详解)- Web信息收集

    1.通过Kali对服务器场景Linux进行Web扫描渗透测试(使用工具nikto,查看该命令的完整帮助文件),并将该操作使用命令中固定不变的字符串作为Flag提交; Flag:nikto -H 2.通过Kali对服务器场景Linux进行Web扫描渗透测试(使用工具nikto,扫描目标服务器8080端口,检测其开放状态),

    2024年01月20日
    浏览(57)
  • 网络安全B模块(笔记详解)- 利用python脚本进行web渗透测试

    1.使用渗透机场景kali中工具扫描确定Web服务器场景地址,浏览网站Flag.html页面,并将Flag.html中的Flag提交; 扫描发现是8081端口 访问页面查看 Flag:WXL0601 2.进入渗透机场景win7操作系统,完善桌面上的tupian.py文件,填写该文件当中空缺的Flag1字符串,并将该字符串作为Flag提交;

    2024年01月18日
    浏览(48)
  • 【安全学习】-网络安全靶场实训演练系统建设方案

    第1章需求分析 1.1建设需求 1.2建设目标与内容 第2章系统整体建设 2.1设计思想 2.2建设目标 2.3架构设计 2.4系统设计 2.4.1基础平台系统设计 2.4.2实训分系统设计 2.4.3考核分系统设计 2.4.4拓扑设计分系统设计 2.4.5模拟仿真系统设计 2.4.5.1网络仿真 2.4.5.2安全仿真 2.4.5.3系统监控 2.

    2024年02月03日
    浏览(42)
  • 网络安全全栈培训笔记(WEB攻防-51-WEB攻防-通用漏洞&验证码识别&复用&调用&找回密码重定向&状态值)

    知识点: 1、找回密码逻辑机制-回显验证码指向 2、验证码验证安全机制-爆破复用识别 3、找回密码客户端回显Response状态值修改重定向 4、验证码技术验证码爆破,验证码复用,验证码识别等 详细点: 找回密码流程安全: 1、用回显状态判断-res前端判断不安全 2、用用户名重

    2024年01月16日
    浏览(62)
  • 网络安全全栈培训笔记(53-WEB攻防-通用漏洞&CRLF注入&URL重定向&资源处理拒绝服务)

    知识点: 1、CRLF注入-原理检测利用 2、URL重定向-原理检测利用 3、Web拒绝服务-原理检测利用 #下节预告: 1、JSONPCORS跨域 2、域名安全接管劫持 #详细点: 1.CRLF注入漏洞,是因为Wb应用没有对用户输入做严格验证,导致攻击者可以输入一些 恶意字符。攻击者一旦向清求行或首部

    2024年01月15日
    浏览(53)
  • Cisco Packet Tracer实战 - 网络设备安全配置综合实训

    网络搭建 根据所给定的拓扑要求,将给定的网络设备互连,搭建物理网络。 2. IP 地址规划 根据要求确定所需子网的数量,每个子网的主机数量,设计适当的编址方案,填写网络地址规划表和设备地址表。 3. 网络设备的安全配置 根据任务书中指出的安全需求,完成数据网络

    2024年03月16日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包