1、信息安全管理與評估補充題1.配置靶機WebServ2003的DHCP功能，能夠分配IP的范圍為172.19.X.X(111150)，XP客戶端申請IP地址，將第二階段和第四的數據包類型作為Flag值提交,格式為:F1-F2；2.使用滲透機攻擊WebServ2003，進行DHCP地址池耗盡攻擊，把使用中的IP地址數比例作為Flag提交；3.進入loginAuth.php程序，修改PHP源程序，使之可以抵御SQL注入，并填補空缺處內容，將填補內容作為Flag提交，格式為F1|F2|F3；4.再次對該任務loginAuth.php頁面注入點進行滲透測試，驗證此次利用任意用戶進行SQL注入滲透測試無效

2、，并將回顯提示信息作為Flag提交。5.Web繼續訪問WebServ2003服務器，"/"->"Employee Information Query"，分析該頁面源程序，找到提交的變量名，并作為Flag提交。6. Web繼續訪問WebServ2003服務器，"/"->"Employee Information Query"，分析該頁面源程序，將表單提交方式作為Flag提交。7. Web繼續訪問WebServ2003服務器，"/"->"Employee Informat

3、ion Query"，分析該頁面源程序，表單提交后跳轉頁面的路徑作為Flag提交。8.對"Employee Information Query"頁面注入點進行滲透測試，根據輸入“%”以及“_”的返回結果確定是注入點，并將顯示結果倒數第三行內容作為Flag提交；9.通過對該任務題目5頁面注入點進行SQL注入滲透測試，刪除WebServ2003服務器的C:目錄下的1.txt文檔，并將注入代碼作為Flag提交。 exec master.dbo.xp_cmdshell del c:1.txt10.進入WebServ2003服務器的C:AppServwww目錄，找到Quer

4、yCtrl.php程序，分析并修改PHP源程序，將%替換為%,_替換為_使之可以抵御SQL注入滲透測試，并將修改后新增語句內容作為Flag提交。格式為F1-F2-F311.再次對該任務題目5頁面注入點進行滲透測試，驗證此次利用注入點對該WebServer進行SQL注入滲透測試無效，并將驗證過程截圖。將系統出現的錯誤提示作為Flag提交。12.進入WebServ2003服務器，禁用系統存儲過程可以抵御SQL注入滲透測試，將禁用系統存儲的語句作為Flag提交。格式為Y1-Y2-Y3-Y4.13.進入"/"->" Employee Message Board&qu

5、ot;->"Display Message"頁面，再次對頁面注入點進行滲透測試，調用存儲過程刪除WebServ2003服務器的C:目錄下的1.txt文檔，將頁面提示第一個字符串作為Flag提交；14.進入"/"->" Employee Message Board"->"Display Message"頁面進行XSS滲透測試，循環彈框"Hacker!",根據該頁面的顯示，確定是注入點，并將構造的注入代碼作為Flag提交。15.通過IIS搭建網站（/

6、），并通過滲透機生成木馬程序TrojanHorse.exe，將使用的工具和模塊路徑作為Flag提交。格式為F1&F2 16.對該任務題目1頁面注入點進行滲透測試，使"/"->" Employee Message Board"->"Display Message"頁面的訪問者執行網站（/）中的木馬程序：/TrojanHorse.exe，并將注入代碼作為Flag提交。 17.進入WebServ2003服務器的C:AppServwww目錄，找到insert.

7、php程序，分析并修改PHP源程序，使用替<、替換>,使之可以抵御XSS滲透測試，并將需要使用的函數和增加語句作為Flag提交。格式為F1/F218.再次執行第16題注入滲透攻擊，進入后臺數據庫中存儲內容作為Flag提交。19.Web訪問DCST中的WebServ2003服務器，"/"->" Shopping Hall"，分析該頁面源程序，找到最后一次提交的變量名和值作為Flag提交。20.對該任務題目19頁面注入點進行滲透測試，使"/"->" Employee Message Board"

8、->"Display Message"頁面的訪問者向頁面ShoppingProcess.php提交參數goods=cpu&quantity=10000，查看"/"->"PurchasedGoods.php頁面，并將注入代碼作為Flag提交。 10000" </script>21.進入WebServ2003服務器的C:AppServwww目錄，找到DisplayMessage.php程序，分析并修改PHP源程序，使之可以抵御CSRF滲透測試，將需要用到的函數作為Flag提交。22.Web訪問ebServ2

9、003服務器，"/"->" Display Directory"，分析該頁面源程序，找到提交的變量名作為Flag。23.對題目22頁面注入點進行滲透測試，使頁面DisplayDirectoryCtrl.php回顯C:Windows目錄內容的同時，對WebServer添加賬號“Hacker”，將該賬號加入管理員組，并將注入代碼作為Flag提交。24.對該任務題目22頁面注入點進行第23題滲透測試，使頁面DisplayDirectoryCtrl.php回顯內容最后一行作為Flag提交。25.Web訪問WebServ2003服務器，"/&quo

10、t;->" Display Uploaded's File Content"，分析該頁面源程序，找到提交的變量名作為Flag提交。26.對該任務題目5頁面注入點進行滲透測試，使頁面DisplayFileCtrl.php回顯WebServ2003服務器訪問日志文件：AppServ/Apache2.2/logs/access.log的內容，并將注入代碼作為Flag提交。27.進入WebServ2003服務器的C:AppServwww目錄，找到DisplayFileCtrl.php程序，分析并修改PHP源程序，使之可以抵御文件包含滲透測試，并將使用的函數和回顯內容作為Flag提交。格式為(F1-F2)28.在BT5對PC進行ARP Spoofing滲透測試，使PC無法WebSer