网络安全上机竞赛试题操作演示
网络安全上机竞赛试题操作演示
—难易度·简单入门
BY IT民工
2017-7-5
第一题 考查网络基础知识
解题思路 :通过ping 命令测试网站域名 ,获取IP地址 ,再通过IP地
址判断其类型。
第一题 考查网络基础知识
从图中我们可以看出 ,网站 ,的IP地址是10.165.7
9.88,该地址属于A类地址 ,属于私网地址。
第一题 考查网络基础知识
在命令提示符里 ,输入arp -a ,得到该网站服务器的MAC地址。
第二题 考查WEB基础知识
用浏览器打开 ,任意点击一个链接 ,我们可以看到 ,
该网站是用ASP开发的。
第二题 考查WEB基础知识
打开明小子SQL注入工具 ,对存在注入点的链接进行扫描 ,发现该网
站用的数据库为ACCESS。
第三题 考核端口扫描工具的使用
这里我们用做任意一款扫描工具去扫描 ,8 ,得到服务器开放的端口
列表 ,这里写出3个以上即可 ,这里我扫描到16个 ,端口功能需要大家平时积累。
第三题 考核端口扫描工具的使用
端口的功能 :
第四题 考查御剑工具的使用
这里我们用御剑扫描 ,得到网站的后台地址。
第五题 考察WEB程序漏洞利用
这里我们浏览器访问 ,找到存在注入点的网址链接 :
http ///onews.asp?id=45 ,输入and 1=1正常 ,and 1=2错
误 ,这里直接将存在SQL注入的连接复制到啊D或明小子工具中去扫描。得到该网站
的后台管理用户名为admin ,密码加密值为 :{pk}EeG
第五题 考察WEB程序漏洞利用
方法一 用手工注入方法 ,暴出网站后台管理员和密码 ,这里用 “三分法” ,猜
字段长度。
第五题 考察WEB程序漏洞利用
方法一 再用union select 暴破表名和列名
第五题 考察WEB程序漏洞利用
方法一 直接在2上面输入admin ,在3上面输入password,暴出管理员后台用户名
和密码
第五题 考察WEB程序漏洞利用
方法二 :用明小子扫描注入点 ,扫描出后台管理员用户和密码
第五题 考察WEB程序漏洞利用
第三种方法就是利用网站的万能密码'or'='or',登录网站后台。
第五题 考察WEB程序漏洞利用
进入网站后台后 ,点击左侧的 “超级管理选项” ,得到管理员的密文登录密码
第六题 考察WEB目录遍历漏洞的利用
我们用御剑扫描 ,得到两个文件 ,扫描如果如下 :
第六题 考察WEB目录遍历漏洞的利用
1.双击扫描到的两个文件 ,下载之 ,将www.zip解压后 ,发现备份文件名 “我是
备份文件”的TXT文件 ,内容是 KEY Hell World! ,t
2.再打开扫描的另外一个文件 ,admin.txt ,
发现文档内容是 :
远程登录用户名 :Sysman
密码 :LocalPass!
成功得到第8题答案
第六题 考察WEB目录遍历漏洞的利用
我们用得到的远程登录用户名 :Sysman和密码 :LocalPass! ,在运行中输入m
stsc命令 ,去登录此WEB服务器的远程桌面 :
第六题 考察WEB目录遍历漏洞的利用
远程连接该WEB服务器 ,在运行中输入CMD ,再输入systeminfo ,得到网站服
务器操作版本及注册信息 :Microsoft Windows Server 2003 Service Pack 2 ,
注册到 :渗透测试
第七题 考察远程登录及电脑管理基本知识
用鼠标右键单击该网站服务器我的电脑—管理 ,得到网站服务器的用户名列表
第八题 考察社会工程学知识
结合第六