系统中有哪些华润银行 vmware 招标使用了vmware

来源:蜘蛛抓取(WebSpider) 时间:2018-02-24 22:18 标签: vmware 苹果系统
查看:18608|回复:9
同上 VMware7.1&&装的 XP系统&&现在虚拟机不识插在母机上的U盾 求高手 指点
优秀技术经理
你说的7.1,是什么???workstation???
应该不是esxi版吧。
把虚拟机关机,在虚拟机里面添加usb控制器,然后再添加usb设备(usb设备就已经查到服务器上),然后开机就可以了
先讲我的电脑:ubuntu10.04+virtualbox4.02+window7虚拟机。本来不想再用windows的,但是linux之于网银U盾,一直以来都是杯具,没办法,还是在虚拟机里面装个windows7吧。可是装好了,设置也不容易。
想自己研究的同学,可以只看一下提纲:
1.下载安装virtualbox扩展包以支持USB功能;
2.为当前用户添加权限;
3.插上你的U盘测试吧。
详细点的过程是:
第一步比较简单,下载地址是:
第二步:“系统”-&“系统管理”-&“用户和组”-&“组管理”-&“vboxusers”,勾选你的用户名。
第三步,启动虚拟机,插入U盘,虚拟机窗口选择“设备”-&“分配USB设备”,进一步选择你的U盘。以后的事,就去看windows吧,非常简单。
学习了:victory: :victory:
学习子,谢谢楼主。
学习了,谢谢各位
:handshake :handshake
学习了,谢谢豆丁微信公众号
君,已阅读到文档的结尾了呢~~
中国人民银行二代支付系统上海实验室Vmware虚拟化培训汇编
扫扫二维码,随身浏览文档
手机或平板扫扫即可继续访问
中国人民银行二代支付系统上海实验室Vmware虚拟化培训汇编
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由:
将文档分享至:
分享完整地址
文档地址:
粘贴到BBS或博客
flash地址:
支持嵌入FLASH地址的网站使用
html代码:
&embed src='http://www.docin.com/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布,请您等待!
3秒自动关闭窗口对I-Bank虚拟银行系统进行渗透测试 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
对I-Bank虚拟银行系统进行渗透测试
共249970人围观
,发现 16 个不明物体
I-Bank Pro是国际性信息安全竞赛的一个虚拟银行系统。包含了很多真实银行系统常见的漏洞。本文主要讲述使用Burpsuite对I-Bank系统的登陆功能进行简单测试。
对虚拟银行系统的渗透测试
虚拟机的登陆用户是root,密码是phd2012。配置好ip之后,就可以从浏览器访问这个虚拟银行系统了。
可以看到这个登陆页面提供了用户名,密码,还有验证码的输入框。当然事先我们是不知道密码的,先用burpsuite的爬虫爬一下看有哪些暴露的url。
结果在意料之中,除了登陆,找回密码页面,没有其他的信息了。
先看一下找回密码页面,提供了一个应该是输入用户名的input框。
随便输入一个admin,点击enter。提示为Identifier not found。聪明的小伙伴们肯定已经想到了。这是提示用户名不存在呀,很可能可以暴力猜解用户名。根据老外的介绍,Identifier代表这个字段应该是数字,进一步降低了暴力猜解的成本。当然这个地方经过测试,确实是可以猜解用户名的。不过为了说明验证码设计的一些问题,本文采用绕过登陆页面的验证码来暴力猜解。
先看一下登陆页面验证码部分的源码。可以看到验证码是通过image.php结合code参数生成的。而且表单中还有一个隐藏的字段,值跟验证码的生成连接中是一样的。每生成一次验证码,这个值都会变化。显然是跟验证码密切相关的,这个字符串看起来很像是base64编码过的。
先用burpsuite的decoder解码试试看。
解码的结果是一个看起来好像无意义的字符串”=IjN5YTO”,有一点小纠结,还以为解码出来直接就是验证码呢。但是我们注意到这个字符串以”=“开头,我们最熟悉的base64特征不就是以”=“结尾么,把这个字符串反序后进行base64解码,验证码就出来了。
到这里我们已经可以非常容易的自动化识别验证码了。
下面再测试一下后台验证码验证的逻辑是否有效。先随便输入一个错误的验证码试试。
服务器返回 Wrong code。
这次输入任意的用户名密码和正确的验证码
返回的错误信息是Identifier not found,根据之前的信息可以判断这里可以暴力破解。写一个脚本自动识别验证码就可以,不过这样子的效率太低了。先来测试一下验证码使用一次是否销毁不能再用了。
填写信息,使用burpsuite抓包。
使用burpsuite的repeater发送多次这个请求,发现服务器返回 Identifier not found,即这个验证码可以使用多次。这样就可以忽略验证码直接暴力破解了。这种形式的验证码缺陷很常见,之前就出现过这种。所以看到验证码不要慌乱,有些时候验证码有和没有一个样。
接下来就是利用burpsuite暴力破解账号,同时使用用户名和密码两个字典的详细步骤演示。对burpsuite熟悉的同学可以直接跳到文末,下载虚拟机自己玩去吧。
首先准备用户名和密码的字典,这里为了方便演示,用户名字典使用以下脚本生成。
!/usr/bin/python
f&=&open('Wordlist.txt',&'a')
for&num&in&range(00101):
&&f.write(str(num)&+&'\n')
密码使用 qwerty 和4567,当然用户名的范围以及弱密码实际上远不止这些,大家用自己的字典跑跑会有额外惊喜。
将登陆的请求发送到intruder,attack type选择cluster bomb,然后添加login和password两个变量。
点击payloads标签,payload set 1,payload type 为Runtime file,Payload Options里选择用户名字典。同理payload set 2,也是一样的方式,选择密码字典。
选择intruder标签的start,开始暴力破解。结束后按照Length排序,发现有3个请求的大小为3824,返回码是302.
使用账号1000001和密码1234567成功登陆系统。
登陆系统之后,当然就是转账了。这个虚拟环境也设计了存在缺陷的交易验证码。感兴趣的同学可以自己测试一下。
虚拟机下载
[via&&编译整理by litdg@freebuf]
哎哟!我的小弟弟,你怎么了..好痛好痛..
必须您当前尚未登录。
必须(保密)
关注我们 分享每日精选文章请完成以下验证码
查看: 9983|回复: 28
虚拟机中使用网银等重要程序避免被盗的思路
wangzi1988
本帖最后由 wangzi1988 于
13:05 编辑
1、在虚拟机中安装全新的系统及系统更新,保证没有病毒;
2、下载网银官网的程序及插件;
3、不要浏览其它无关的网站,任何其他第三方程序都不要下载及执行,这个虚拟机只用作网银等重要程序,用完就关闭这个虚拟机;
4、想要玩虚拟机的朋友,请另建一个虚拟机折腾,不要在这个虚拟机折腾;
5、这样做还有一个好处,实机不会开机加载这些程序或插件,提高了实机的运行效率
说白了就一句话:用一台全新的电脑上网银,其它什么事情都不做!
以上是我的一点思路,这种方法也就不需要在这个虚拟机中安装杀毒软件了!
有点麻烦,实机中支付宝安装数字证书,网银有u盾,即使中毒了也不怕
其实这方法加入杀软更好。。。
你没法保证没主动的入侵
wangzi1988
本帖最后由 wangzi1988 于
21:42 编辑
ssama 发表于
其实这方法加入杀软更好。。。
你没法保证没主动的入侵
网银的客户端及数字证书也不会这么不堪一击,系统也不是白更新的!
我想正常人使用网银的时间是有限的,不可能一直挂着网银的,只要不是厉害的主动入侵,他没有多少时间吧??概率比较小!
wangzi1988 发表于
网银的客户端及数字证书也不会这么不堪一击,系统也不是白更新的!
只要不是厉害的主动入侵,他没有 ...
对于安全,多一点比少一点好
firethreat
楼主这个,偶愚见,其实防护很弱。但因为专用,在线时间极短,习惯好到极点,所以中招几率很小很小。。
实机可以感染虚拟机的,即使你虚拟机是关着的~~
wangzi1988
银砾石 发表于
实机可以感染虚拟机的,即使你虚拟机是关着的~~
能否科普一下实机感染关闭的虚拟机??
wangzi1988 发表于
能否科普一下实机感染关闭的虚拟机??
很容易啊,找到虚拟机对应的磁盘文件,然后再分析具体文件的存储位置,就可以改了
虚拟机硬盘文件结构是公开的,分析不要太简单。。
与其整天操这些冤枉心疑神疑鬼
不如直接开通手机验证、U盾
Copyright & KaFan &KaFan.cn All Rights Reserved.
Powered by Discuz! X3.4( 苏ICP备号 ) GMT+8,

我要回帖

更多关于 vmware 苹果系统 的文章

 

随机推荐