几次攻防演练的经验分享

  • A+
所属分类:安全文章
  1. 资产搜集很重要,除了FOFA一顿搜以外,打开网站的主页看看,各种超链接说不定也是单位资产。

  2. shiro永远的神!

  3. 对于互联网资产很少的单位,或者很难搞的单位,可以趁早考虑钓鱼,不要想着等几天没进展了再做钓鱼,因为一般攻防演练也就是一个星期左右,你等几天再搞,说不定别人多少天才看一次邮件。早点动手上线的机率更大,要不然等搞完了才上线了就很尴尬了。

  4. CS的马做钓鱼的时候,不要直接就硬上线了,CND隐藏等等安排上,做好防溯源。

  5. 弱口令永远修复不了的漏洞,很多口子就是通过弱口令撕开的。

  6. 传统的邮件钓鱼的效果已经很不理想了,实时性是一个很大的问题,很多人一个月半年才看一次邮件。可以考虑与WEB漏洞相结合的办法,拿到OA等等这些WEB程序的权限或者弱口令以后,发公告,发工单的方法进行钓鱼。

  7. 还有旁站,2020年了没想到还有很多单位买不起服务器,搜集资产的时候不要忘了看旁站。

  8. OA系统里面的各种电话号码姓名等等都可以搜集起来,这就是下次爆破的物料。

  9. 各个官网下面的邮箱,丢进库里面查一下,说不定有惊喜。

  10. 代理的问题,一把大一点的赛事都会有人封IP。自己扫ip做代理池或者买网络上别人提供的服务器,一天好像也就十几块钱。

本文始发于微信公众号(漏洞推送):几次攻防演练的经验分享

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: