摘要： 一、实验概述 1.1 实践目标 本次实践聚焦Web应用两大核心高危漏洞（SQL注入、XSS跨站脚本），完成从漏洞原理理解、实战利用到防御加固的全链路闭环操作，具体目标： 针对员工管理Web应用，实现SELECT/UPDATE语句的SQL注入攻击，掌握漏洞利用逻辑并完成预编译语句加固，验证防御效果。 阅读全文

摘要： 一、实验概述 1.1 实践目标 本次实践对象为 Linux 平台下的 32 位可执行文件pwn1，程序正常执行流程为main函数调用foo函数，foo函数通过无边界检查的strcpy将用户输入回显。程序内置未被正常调用的getShell函数，执行后可返回交互式 Shell。本次实验通过三种递进方法实 阅读全文

摘要： 一、实践内容 1、实验应达到的目标 1.1 动手实践任务一（Rada 恶意代码样本基础分析） 能独立用 PEiD、file 等工具，准确识别 rada 恶意代码样本的文件格式、运行平台和加壳工具类型；会用超级巡警脱壳机完成 rada 样本脱壳，还能验证脱壳结果是否有效；能用 Strings 工具提取 阅读全文

摘要： 一、实践内容 1、本次实验应达到的目标 实验（1）：Metasploit Linux 远程渗透：掌握 Metasploit 框架针对 Linux 系统的漏洞利用流程，理解 Samba Usermap_script（CVE-2007-2447）漏洞的命令注入原理，完成漏洞模块配置、载荷选型、参数设置与 阅读全文

摘要： 一、实践内容 1、本次实验应达到的目标 实验（1）：Metasploit Windows 远程渗透：掌握 Metasploit 框架的核心使用流程，理解 MS08-067 漏洞的利用原理，能够完成漏洞扫描、攻击模块配置、远程渗透攻击全流程操作，成功获取 Windows 靶机的系统访问权限，理解远程代 阅读全文

摘要： 一、实践内容 1、本次实验应达到的目标 实验（1）：防火墙配置：掌握 Linux 系统 iptables 或 Windows 防火墙的核心配置逻辑，能够针对 ICMP 协议、特定 IP 访问权限进行精准规则配置，理解防火墙的包过滤机制与访问控制原理，验证规则生效效果并掌握基础调试方法。 实验（2）： 阅读全文

摘要： 一、实践内容： 1、本次实验应达到的目标 实验（1）：ARP 缓存欺骗攻击：在实验环境中完成 ARP 缓存欺骗攻击实操，掌握 ARP 协议的工作机制与无认证核心安全缺陷，熟练使用 arpspoof 等工具实施双向 ARP 欺骗，实现局域网流量中间人劫持，理解 ARP 欺骗的流量特征、攻击危害与基础防 阅读全文

摘要： 一、本次实验应达到的目标 实验（1）：tcpdump 嗅探 Web 访问过程：使用 tcpdump 指令嗅探虚拟机访问 www.baidu.com首页的流量，掌握 tcpdump 抓包与过滤规则，精准统计访问的 Web 服务器数量及对应 IP 地址，理解 DNS 解析与 Web 资源加载的流量特征。 阅读全文

摘要： 一、本次实验应达到的目标 实验（1）：DNS域名查询：从指定3个域名（www.besti.edu.cn、baidu.com、sina.com.cn）中选择1个，完成域名注册信息（注册人、联系方式）、对应IP地址、IP归属及地理位置查询，熟练掌握DNS解析与IP溯源的核心方法，能独立完成全流程查询操作 阅读全文

摘要： 一、重点知识点梳理及总结 1.实验背景 在信息技术高速发展的当下，网络安全已成为保障数字空间稳定运行的核心支柱，其核心防护目标聚焦于信息系统三大核心属性——机密性、完整性与可用性，该目标有效抵御了非法访问、数据篡改、服务中断等安全威胁。 而渗透测试（Penetration Testing）作为主动安 阅读全文