文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
WebServer IP:
测试过程:(3分)
截图:
Goods:CPU----数值大于或等于999999
10.进入DCST中的WebServ2003服务器的C:\\AppServ\\www目录,找到DisplayMessage.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御CSRF渗透测试,并将修改后的源程序截图;(10分)
截图:
服务器场景DisplayMessage.php程序语句:
16
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
echo “Content:”.”$obj->info”.”……” 替换为:
echo “Content:”.strip_tags(”$obj->info”).”……” (10分)
11.再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对该DCST中的WebServ2003服务器进行CSRF渗透测试无效,并将验证过程截图;(5分)
(5分)
得分点:直接显示代码信息,而不是将代码执行; (截图)
SQL Server企业管理器中,Message表中info字段注入语句含有标记;同时Communication Message页面显示Content:注入语句不含有标记;
17
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
任务3:命令注入与文件包含攻防(50分)
1. Web访问DCST中的WebServ2003服务器,\ Display Directory\,分析该页面源程序,找到提交的变量名,并截图;(5分)
找到源程序:(2分)
页面标题:
2. 对该任务题目1页面注入点进行渗透测试,使页面
DisplayDirectoryCtrl.php回显C:\\Windows目录内容的同时,对WebServer添加账号“Hacker”,将该账号加入管理员组,并将注入代码及测试过程截图;(5分)
18
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
注入语句:(2分)
WINDOWS | net user Hacker P@ssword /add
WINDOWS | net localgroup administrators Hacker /add 测试成功:(3分) 截图:
含有:命令成功完成。
3. 进入DCST中的WebServ2003服务器的C:\\AppServ\\www目录,找到DisplayDirectoryCtrl.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御命令注入渗透测试,并将修改后的源程序截图;(10分)
(10分)
19
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
包含语句: $str=’|’
if(strstr($directory,$str)==false)
4. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用注入点对该DCST中的WebServ2003服务器进行命令注入渗透测试无效,并将验证过程截图;(5分)
截图1:利用注入点对该DCST中的WebServ2003服务器进行命令注入渗透测试;
含有本任务第2题的命令注入语句; WINDOWS | net user Hacker P@ssword /add
WINDOWS | net localgroup administrators Hacker /add 截图2:页面出现非法输入提示;
含有本任务题目3修改后代码中的错误提示信息; 本案例提示信息为:illegal input! (5分)
20
2016信息安全管理与评估赛项赛题与评分标准—第二阶段答案及评分标准
