文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
5. Web访问DCST中的WebServ2003服务器,\ Display Uploaded's File Content\,分析该页面源程序,找到提交的变量名,并截图;(5分) 找到源程序:(2分)
页面标题:
找到提交的变量名:(3分) name=\
6. 对该任务题目5页面注入点进行渗透测试,使页面
DisplayFileCtrl.php回显DCST中的WebServ2003服务器访问日志文件:AppServ/Apache2.2/logs/access.log的内容,并将注入代码及测试过程截图;(5分) 构造注入代码:(2分)
..\\..\\..\\AppServ\\Apache2.2\\logs\\access.log 回显DCST中的WebServ2003服务器访问日志文件:显示出AppServ/Apache2.2/logs/access.log的内容:(3分)
21
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
Internet Explorer地址栏中须含有: DisplayFileCtrl.php?filename=
7. 进入DCST中的WebServ2003服务器的C:\\AppServ\\www目录,找到DisplayFileCtrl.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御文件包含渗透测试,并将修改后的源程序截图;(10分)
22
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
(10分) 包含语句: $str=’..’
if(strstr($directory,$str)==false)
8. 再次对该任务题目5页面注入点进行渗透测试,验证此次利用注入点对该DCST中的WebServ2003服务器进行文件包含渗透测试无效,并将验证过程截图。(5分)
截图1:利用注入点对该DCST中的WebServ2003服务器进行命令注入渗透测试;
输入框含有本任务题目6的注入代码:
23
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
..\\..\\..\\AppServ\\Apache2.2\\logs\\access.log 截图2:页面出现非法输入提示;
含有本任务题目7修改后代码中的错误提示信息; 本案例提示信息为:illegal input! (5分)
任务4:数据窃取防护:二层攻防(45分)
1. 将PC1、Kali所连接端口划入与WAF同一VLAN(VLAN10),并将PC1、Kali分配与DCST服务器相同网段IP地址,使PC1、Kali、DCST中的WebServ2003服务器能够在同一个网段(VLAN10)内相互Ping通。(2分) 截图:
PC1、Kali、DCST同在VLAN10;(#show vlan)
24
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
VLAN10中包含的接口数>=3;
WebServer IP配置(与参数表中服务器场景的IP地址一致):
PC1 IP地址配置(与参数表中PC1的IP地址一致):
PC3 IP地址配置(与参数表中PC3的IP地址一致):
25
2016信息安全管理与评估赛项赛题与评分标准—第二阶段答案及评分标准
