2017春季学期网络安全分析大作业.docx

2017春季学期网络安全分析大作业温馨提示：所有同学独立完成，如有问题请询问老师或助教。试卷解压密码是多少？（5分）8837假设存在主机 ，写出以下命令：（20分）对主机进行端口扫描（4分）nmap -PS 使用ssh连接目标主机，用户名：bupt，密码：123456（4分）ssh mailto:bupt@bupt@ 123456修改文件run.sh 为可执行文件（4分）chmod 777 run.sh 或者chmod 755 run.sh 然后 ./run.shchmod +x run.shWindows 下创建新用户，用户名：bupt,密码：123456（4分）net user bupt 123456 /add打开Windows操作系统自带的远程桌面连接其他计算机（4分）mstsc使用什么命令查看本机的IPV4地址以及MAC地址？（2分）Ipconfig -all本机的IP地址是？MAC地址是？请截图您所查看到的信息。（3分）49 34-23-87-0F-2D-9F写出以下名词的英文全称以及中文解释（10分，每个2分）DDoS：分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力XSS：/item/%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%94%BB%E5%87%BB跨站脚本攻击(Cross Site Scripting)，为不和/item/%E5%B1%82%E5%8F%A0%E6%A0%B7%E5%BC%8F%E8%A1%A8层叠样式表(Cascading Style Sheets,?/item/CSS/5457CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。CSRF：CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（/item/XSSXSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与/item/XSSXSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比/item/XSSXSS更具危险性。DNS：DNS（Domain Name System，域名系统），因特网上作为域名和/view/3930.htmIP地址相互映射的一个/view/68389.htm分布式数据库，能够使用户更方便的访问/view/6825.htm互联网，而不用去记住能够被机器直接读取的IP数串。通过/view/23880.htm主机名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。DNS协议运行在/view/30509.htmUDP协议之上，使用端口号53。VPN：VPN（Virtual Private Network）虚拟专用网络的功能是：在/item/%E5%85%AC%E7%94%A8%E7%BD%91%E7%BB%9C公用网络上建立/item/%E4%B8%93%E7%94%A8%E7%BD%91%E7%BB%9C专用网络，进行/item/%E5%8A%A0%E5%AF%86加密通讯。在/item/%E4%BC%81%E4%B8%9A%E7%BD%91%E7%BB%9C企业网络中有广泛应用。VPN网关通过对/item/%E6%95%B0%E6%8D%AE%E5%8C%85数据包的加密和数据包目标地址的转换实现/item/%E8%BF%9C%E7%A8%8B%E8%AE%BF%E9%97%AE远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过/item/%E6%9C%8D%E5%8A%A1%E5%99%A8服务器、硬件、软件等多种方式实现。网站攻防实战（总分40分）找到网站后台登陆地址，编写字典（passwd.txt），密码前4位为bupt全排列中的一个，密码后四位为数字，只包含数字1到7，不包含重复数字。源代码及字典随试卷一起提交（10分）16/dede/login.php16/dede/login.php源代码和字典见附件使用自己编写的字典，爆破网站后台密码。请填写密码。（10分）bput5713上传webshell,使用菜刀连接，然后在网站根目录下发现一个名为“