计算机信息安全试验项目任务书-2011版.docVIP

试验项目实践任务书 （新华学院 2008级计算机科学本科 ） 题 目：黑客入侵的基本步骤和方法 学 院 宁夏大学新华学院 专 业 网络工程 年 级 2008级 项目负责人 卜俊卿 项目组成员 陆峰 张凯 李严 杨旭 指导教师 高志军 2011年 10 月 10 日  试验项目实践任务书说明 一、本试验项目实践任务书须以小组为单位完成，小组成员可以自愿组合，人数3－5人。 二、试验内容以黑客入侵的过程：踩点→弱点扫描→弱点突破→获得管理权限→数据窃取→留取后门程序→清理痕迹。为依据依次完成每一个步骤。 三、黑客入侵过程中的每一步须有工具介绍，并选择一款工具进行论述。 四、试验项目任务书提交形式：完成后提交电子稿一份，经教师披阅后，在提交打印稿一份。 五、字数限定为4000字－6000字。 六、高志军的电子信箱：gao_zjun@126.com 《计算机网络安全－试验项目实践》任务书 附表一 项目题目 黑客入侵的基本步骤和方法 项 目 成 员 卜俊卿 陆峰 张凯 杨旭 李严 班 级 08网络 指导教师 高志军 职 称 副教授 一、项目实施的基本要求（项目负责人填写：包括项目实施的硬件和软件及相关资源的要求等）。 本次试验实验所用到的工具 硬件: 网络计算机 软件：Windows 7 冰舞2.5 网站猎手3.0 MD5Crack 4 指导教师签名： 年 月 日 二、项目实施过程的诚信承诺： 本人郑重承诺：该项目实施从选题、写作提纲、初稿、修订稿等环节均为本项目成员集体合作，并在指导老师指导下独立完成；项目实施中所使用的相关资料、数据、观点等均真实可靠，除项目实施中已注明的引用他人观点、材料外，本项目没有不正当引用他人学术成果。如有违反上述内容者，本人愿承担一切后果。 学生签名： 卜俊卿 2011年 10月 10日 项目实施及分工： 实施步骤： 1.由张凯用网站猎手3.0进行踩点，具体步骤如下： 首先利用 网站猎手 进行asp网站的扫描 在网站猎手的【关键字】处填入关键字 inurl:Went.asp 如下图 点击 【搜索】 会利用百度搜索到网页为asp类型的网站 点击 【获取网址】 会从搜索好的结果中得到网站的网址 在如图中号位置填入 baidu 之后点击 【整理网址】 这样会将网址中涉及百度的网页过滤掉，可多次重复这一步骤分别将 baidu gov china 这些关键字输入图中号位置以过滤掉一些无用的网址，最好不要去扫描国家机关网站，百度的网页也不用扫描。 之后点击 【扫描漏洞文件 】 点击 【Load URL】 将过滤好的网址读入待测试站点列表 点击 【全选】 选择全部待扫描的漏洞文件 点击 【开始检测】 之后等待检测结果 之后右键点击 【检测结果——访问】 会打开所选的网页，以此来查看是否为真的管理后台 ，因为该软件的原理（个人推测）为首先将待测试站点的网址+漏洞文件地址（例如第一个网站为 ,第一个漏洞文件为upfile.asp ，则要扫描的网页就为 /upfile.asp）之后利用ping命令来验证是否存在该网页，所以就有扫到假后台的可能（经验证有一部分确实为假后台），若为真后台就记下这个网站的域名。 经过上面的步骤我们基本上能够找到一些有后台的网站，后台的样式例如下面的这个网站 之后结合实例为我扫描到的网站 网站域名为 宁夏希望信息产业有限公司 网站后台为 /admin/index.asp 2.由卜俊卿用冰舞2.5和MD5Crack 4来查看该网站是否存在漏洞和破解密码，步骤如下： （1）打开 冰舞2.5 点击 整站分析 首先在【目标地址】处填入要扫描的网址，之后点击 【开始探测】 等待 号处的数字比号处的数字大1的时候，说明软件已经扫描完成了。若第二个文本框（以下列表是可能存在注射漏洞的url）中出现了一些网址，则该网站有可能存在漏洞，反之则该网站没有可利用的漏洞