ATT& CK权限升级技术 权限提升由攻击者用来获取系统或网络上更高级别权限的技术组成。攻击者通常可以使用非特权访问权限进入和探索网络,但需要更高的权限才能实现其目标。常见的方法是利用系统的弱...
04月01日13 views评论权限
权限提升
Windows Red Team权限提升技术-6
04月01日13 views评论权限
权限提升
04月01日13 views评论权限
权限提升
【干货】交大EduSRC拿证
文中涉及漏洞均以提交至相关漏洞平台,禁止打再次复现主意 本文章完全是为了水证书,分享一个快速打法,不喜勿喷,感谢大佬们的指正。 前言 这第六炮本来应该早早就来了!修复太慢了,推到今天才给宝子们带来第六...
03月24日42 views评论后台
权限
Windows权限提升—溢出提权
1. 权限提升介绍 这里需要我们了解的权限提升大概分为:后台权限,网站权限,数据本权限。接口权限,系统权限。域控权限等。 1.1. 权限说明 后台权限:SQL注入,致据库备份泄露,默认或弱口令等获取帐...
03月17日23 viewsWindows权限提升—溢出提权已关闭评论权限
权限提升
文件上传漏洞篇讲义附带upload靶场WP【1-13】
关于文件上传漏洞的前言在现在越来越安全的体系下,SQL Injection 这类漏洞已经很难在安全性很高地站点出现比如一些不错的.NET 或 JAVA 的框架基本上都是参数化传递用户输入,直接封死注入...
03月09日安全文章91 views评论php
服务器
一次成功打击赌博集团后的思考
事情是这样的,在通过一个入口点打入赌博集团的一台服务器后,提权,找到VNC服务器,然后各种渗透,拿下一台台服务器,最终脱库,一切看似都很顺利,但当我把成果移交给执法部门后,却在短短几小时内,所有的后门...
03月08日18 views评论服务器
权限
【渗透测试】一条龙渗透测试工具
Ladon简介Ladon模块化网络渗透工具,可PowerShell模块化、可CS插件化、可内存加载,无文件扫描。含端口扫描、服务识别、网络资产探测、密码审计、高危漏洞检测、漏洞利用、密码读取以及一键G...
03月07日80 views评论windows
插件
云计算促使CISO转变安全重点
过去十年,首席信息安全官(CISO)面临的挑战发生了巨大变化。如今,他们必须协调自己的安全工作和预算,使之配合所属企业的业务目标,例如维持客户的数据安全信心和保护知识产权免遭盗窃等等。作为执行管理团队...
03月07日19 views评论ciso
权限
【漏洞通告】Node.js权限绕过漏洞(CVE-2023-23918)
IDOR研究系列-02
IDOR研究系列-02声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言前面写过的很多I...
02月25日安全文章26 views评论安全团队
权限
苹果设备发现新漏洞,可以恶意访问用户数据
苹果公司修订了它上个月发布的安全公告,更新了影响iOS、iPadOS和macOS的三个新漏洞。第一个漏洞是Crash Reporter组件中的一个竞赛条件(CVE-2023-23520),可使恶意攻击...
02月25日58 views评论攻击者
漏洞
Node.js 身份认证绕过漏洞(CVE-2023-23918)
漏洞类型:身份认证绕过 简要描述 Node.js存在身份认证绕过漏洞,在启用实验权限选项 --experimental-policy的受害者,攻击者可以使用process.mainModule.req...
02月24日164 views评论cve
https
红队|攻防演练中攻击方的思路总结
前言在本篇文防演练中攻击方是如何打开缺口的方法的总结。本篇文章数据来源于18+省市级别HVV,90+单位失陷报告。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告)思路朴素不包含钓鱼和叼炸天的0d...
02月20日121 views评论弱口令
权限
52