项目介绍
法律法规
脚本编写能力专项练习
Web 安全方向
Sql 注入漏洞(第五期)
远程命令/代码执行漏洞(RCE)
安全杂项
二进制漏洞
学习规则
项目介绍
山东警察学院网络空间安全与电子数据取证实验室成立于2015年,面向网络空间安全技术交流,研究方向包括Web安全、渗透测试、二进制漏洞挖掘与利用、电子数据取证等。社团始终坚持以赛代练,以赛促学的观念,不断参加各种CTF竞赛,提高成员技术水平,全面提升利用网络空间安全技术进行网络犯罪侦查实战和电子数据取证的能力。
本项目为实验室的开源学习项目,为的是给实验室新生以及校内外正在入门网络安全的小白提供学习指导,帮助他们找到学习方向,从而帮助到更多学习者成长。
该项目的学习内容包括Web安全、密码学与安全杂项,二进制漏洞挖掘与利用等方向的基础,后期预计会包括内网渗透、电子数据取证等相关知识。
下面来介绍本期的学习内容,请各位学习者选择自己喜欢的方向进行学习。
法律法规
第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
脚本编写能力专项练习
这次考核反映出了大家脚本编写能力的薄弱,希望大家可以好好反思,多加练习。
(1)学习Python requests库的使用方法,能够利用requests库发送常见的HTTP请求。参考学习:
https://docs.python-requests.org/zh_CN/latest/ https://www.jianshu.com/p/ecb4d54ad8cf
(2)完成以下几个小程序的编写:
编写简单脚本,实现对 DVWA Command Injection low 关卡的攻击 编写简单脚本,实现对 DVWA File Upload low 关卡的文件上传
Web 安全方向
Sql 注入漏洞(第五期)
(1)我们知道,在一般的MySQL注入中,我们会使用MySQL中的information_schema库来获取表名、字段名等数据,但是当 "information_schema" 被目标环境过滤了之后,我们该如何bypass呢?本节,请自行探究bypass information_schema与无列名注入的常见姿势。
参考学习:https://blog.csdn.net/qq_45521281/article/details/106647880
远程命令/代码执行漏洞(RCE)
学习常见的RCE Bypass姿势,并做总结。
参考学习:https://blog.csdn.net/qq_45521281/article/details/105585709
安全杂项
这一块太杂了,还是多刷刷题吧。
多去Buuctf上面刷刷Misc题目,上面的题目都是里面比赛的真题,难度不大,一天刷20道不成问题。遇到不会的不要钻牛角尖,可以去看看Writeup,把遇到的每一种题型以及涉及的知识点总结下来,编集成册。
二进制漏洞
参照ctfwiki进行学习
逆向:https://ctf-wiki.org/reverse/introduction/ Pwn:https://ctf-wiki.org/pwn/readme/
推荐做题平台:
攻防世界 Buuctf
每周刷题
学习规则
不出意外的话社团每周推出一期学习项目,各位学习者如果在网络安全入门方面找不到方向的话可以在公众号上跟着我们一起学习。 需要各位学习者自己搭建或者创建一个博客,用于记录一周内学习的进度与收获。 根据任务安排学习,选择自己喜欢的方向进行学习,并做好学习笔记,笔记可以存放在本地,也可以发布到自己的博客上。 强调:本学习项目仅供找不到方向的学习者做参考,对于学习网络安全是远远不够的,最重要的还是自己多了解、广泛的学习,抓住学习过程中的每个知识点,学通遇到的每一个漏洞。