网络攻防实战教程v2.0

信息安全实战系列之网络攻防实战教程ActualCombatforNetworkAttackandDefensive吉林中软吉大信息技术有限公司I目录一.技能题答案............................................................1找到网页中的秘密.......................................................1隐藏的宝藏.............................................错误!未定义书签。你会应聘成功吗.........................................................6漂流瓶的惊喜...........................................错误!未定义书签。神秘文件...............................................错误!未定义书签。找出凶手..............................................................11最后的线索............................................................16你会比黑客更强大么....................................................20来种树.................................................错误!未定义书签。看谁算得快.............................................错误!未定义书签。对情报人员的考核.......................................错误!未定义书签。恐怖分子的微型PC.....................................................25请帮助情报局局长获得密钥KEY...........................错误!未定义书签。健忘的老师............................................................31斯诺登的密文...........................................错误!未定义书签。神秘的51区...........................................................35好玩的黑客游戏.........................................错误!未定义书签。图片的奥妙............................................................42犯罪组织的联络信息.....................................错误!未定义书签。你想进入这家大公司么..................................................46黑客的挑战.............................................错误!未定义书签。拜师学艺...............................................错误!未定义书签。文件碎片...............................................错误!未定义书签。逃出密室...............................................错误!未定义书签。xor0xff到底是什么....................................错误!未定义书签。入侵指挥系统...........................................错误!未定义书签。攻击数据库.............................................错误!未定义书签。未被销毁的罪证.........................................错误!未定义书签。奇怪的附件.............................................错误!未定义书签。输入正确的内容.........................................错误!未定义书签。二、渗透题答案............................................错误!未定义书签。实战概述...............................................错误!未定义书签。实战环境...............................................错误!未定义书签。实战目标...............................................错误!未定义书签。实战指导...............................................错误!未定义书签。II实战攻略...............................................错误!未定义书签。第一阶段WEB服务器渗透攻略........................错误!未定义书签。第二阶段DB主机渗透攻略...........................错误!未定义书签。第三阶段OA主机渗透攻略...........................错误!未定义书签。找到网页中的秘密1一.技能题答案找到网页中的秘密技能点1.使用编码转换工具解密编码信息。2.根据html代码和JavaScript分析页面功能。解题工具解码工具汉字编码转换工具网页调试工具IE8F12技能题答案2解题思路本题要求输入正确的密码获取KEY。在没有提示密码长度及密码内容的情况下，通过查看网页源代码的方式分析密码被提交的方式和匹配方式。通过读取源代码可以找到一段被转化成编码的JavaScript语句，通过对编码的解密获取到正确的密码以及KEY。打开答题页面查看网页源文件是否能根据提示信息猜取密码是获取KEY否根据网页源码中的JavaScript代码内容找到解题关键解题需知JavaScriptJavaScript可以用escape()将字符串进行编码，转换后的编码可以在所有计算机上被识别。转换后的编码形式通常为“%XXX”。html中的按钮inputtype=”button”value=”提交”onclick=”PassConfirm()”在这句html代码中，type=”button”说明定义了一个按钮，value=”提交”说明这个按钮在显示的时候名称为“提交”。onclick=”PassConfirm()”说明当点击这个按钮的时候会执行一个动作，这个动作是调用PassConfirm()这个方法，PassConfirm()这个方法通常是用JavaScript语言编写的。找到网页中的秘密3解题步骤1.首先查看题目网页源代码，点击IE浏览器页面选项，选择查看源代码，如下图。查看到的源代码中JavaScript代码的变量Words为编码。为了查看网页提交密码的过程，因此需要对编码进行解密，需要解密的部分如下图。2.对Words的值解密。打开汉字编码转换工具，在输入区输入需要解密的信息，选择一种解密方式，会在输出框中获得解密后的信息。技能题答案43.分析解密后的JavaScript代码inputonClick=returnPassConfirm()type=buttonvalue=确定根据解密后的这段代码中可以发现在点击提交按钮后，调用了PassConfirm()方法。根据线索查看PassConfirm()方法。方法中if(x==jlcss.com){alert('jlcssIST')这句话是对输入框中被提交的数据进行匹配，如果输入的密码为jlcss.com（jlcss.com后面有一个占位符）就会弹出密钥。隐藏的宝藏5技能题答案6你会应聘成功吗技能点1.根据html代码和JavaScript分析页面功能。解题工具网页调试工具IE8（F12）你会应聘成功吗7解题思路本题需要输入正确的账户和密码获取KEY。没有用户名密码信息的提示，也无法查看网页源代码，因此我们需要寻找查看源代码的方法。根据猜测网页可能采用了JavaScript方法使得无法查看源代码，通过禁用IE执行JavaScript的方法后可以查看到网页源代码。对源代码进行分析后获得KEY。打开答题页面查看网页源文件是否能根据提示信息猜取密码是获取KEY否无法查看网页源文件猜测无法查看源代码的原因跟JavaScript有关禁用JavaScript后可以查看网页源码分析网页源码解题需知JavaScriptJavaScript中prompt()方法的功能是弹出消息对话框，消息对话框具有排他性，因此在点击消息对话框的按钮前，不能执行其他任何操作。html中的按钮inputtype=”button”value=”提交”onclick=”PassConfirm()”在这句html代码中，type=”button”说明定义了一个按钮，value=”提交”说明这个按钮在显示的时候名称为“提交”。onclick=”PassConfirm()”说明当点击这个按钮的时候会执行一个动作，这个动作是调用PassConfirm()这个方法，PassConfirm()这个方法通常是用JavaScript语言编写的。技能题答案8解题步骤1.查看网页源代码打开页面后不能另存网页查看源代码（IE8下按F12也同样无效），通过url的地址可以知道访问的网页为html页面，JavaScript代码阻止了查看源代码的功能。因此禁用浏览器的JavaScript功能。2.禁用JavaScript以IE8浏览器为例，打开浏览器后点击工具——Internet选项——安全——自定义级别，按照下图将相关选项禁用。「注」完成题目后需要将这两项修改为启用。3.查看网页源代码（IE8下按F12）再次访问网页后可以看到页面，如下图。你会应聘成功吗9此时可以查看网页的源代码了。varmessage1=请输入您的用户名;varun=prompt(message1,);varmessage=请输入密码;varincmess=用户名或密码错误;varpw=prompt(message,);alert(incmess);window.open(error.html,_self)根据上面这段代码可以看到一旦访问页面就会弹出输入账户密码的对话框。但是不会对输入的内容进行匹配，而是直接跳转到error.html页面。再看下面的代码中有“window.open(include.html,_self)”，这里面有另一个页面include.html。直接访问获得KEY（网址需要按照实际情况来修改IP地址）。技能题答案10找出凶手11找出凶手技能点1.应用专用工具识别文件格式，应用十六进制编辑器修改文件数据。解题工具编辑工具WinHex/UltraEdit/EditPlus图像处理ACDsee/PhotoShop技能题答案12解题思路首先下载文件，根据题目的提示信息，这个文件的后缀名应该是tga，使用相应的软件打开，发现无法显示图像，用十六进制编辑器Winhex打开，查看文件十六进制代码，发现文件头不对，将文件头修改为tga格式的相应文件头，打开图像，查看KEY。下载目标文件，尝试使用相应