勒索软件攻击仍然是关键基础设施部门和运营技术 (OT) 环境的噩梦。近日,一种称为物联网勒索软件或R4IoT方法的新攻击浮出水面。概念验证(PoC)揭示了网络犯罪分子日益复杂的行为,因为他们将 IT、...
06月13日30 views评论勒索软件
网络安全
物联网勒索软件攻击或成为关键基础设施安全保护的噩梦
06月13日30 views评论勒索软件
网络安全
06月13日30 views评论勒索软件
网络安全
Shiro漏洞实战
在对某一个IP进行渗透的时候,扫出了许多端口,于是就想着扔到goby里面扫扫,看能不能扫出组件信息或者漏洞,没想到还真扫描出来了。漏洞是shiro的一个漏洞(CVE-2016-4437)于是就有了接下...
06月11日100 views评论apache
漏洞
src资产管理系统 -- Watchdog
项目作者:CTF-MissFeng项目地址:https://github.com/CTF-MissFeng/Watchdog一、工具介绍Watchdog整合多款安全工具并以web形式展现,它辅助渗透测...
06月10日122 views评论ctf
python
Spring-Cloud-Function-Spel-rce(CVE-2022-22963)漏洞研究报告
一、漏洞信息搜集1.1 漏洞信息表漏洞名称Spring-Cloud-Function-Spel-rce发布时间2022年03月26日漏洞编号CVE-2022-22963威胁类型任意代码执行危害级别严重...
05月27日652 views评论cve
漏洞
【应急能力提升3】内网横向移动攻击模拟(上)
本文为整个专题的第三篇,进入了攻击模拟的第II期。在本次攻击模拟中,引入了同一网段中的两台主机(Windows,以下简称W;Ubuntu,以下简称L),分别被两个攻击者攻击后,也导致对方遭受攻击。为了...
05月23日130 views评论攻击者
漏洞
红队第1篇:weblogic9.x在JDK1.5下T3反序列化漏洞利用方法
Part1前言年前在一次攻防比赛过程中,遇到了一个9.x版本的weblogic中间件,是非常老版本的Weblogic了,现有的各种漏洞利用工具都没能拿下权限,考虑到之前也曾经遇到过好几次了,于是研究了...
05月16日30 views评论代码
版本
网络安全架构体系参考——操作技术(OT)安全架构参考
“在OT和工业物联网环境中应用零信任原则”操作技术 (OT) 和工业物联网环境由控制物理设备的计算机组成。这包括供暖、通风和空调 (HVAC) 系统等常见技术,以及用于制造、石油和天然气设施、公用事业...
05月16日119 views评论安全
系统
自动化信息收集+漏洞挖掘平台(看门狗)
简介Bayonet是整合多款安全工具并以web形式展现,它辅助渗透测试人员对IT资产进行资产管理。功能点子域名扫描:oneforall端口服务扫描:shodan+异步socket+nmap(ip数据库...
05月15日184 views评论python
web
攻击者部署后门,窃取Exchange电子邮件
近日,Mandiant 安全研究人员发现一个新的、异常隐蔽的高级持续性威胁(APT)组织正在入侵企业网络,并试图窃取参与企业交易(如并购)员工的 Exchange(内部和在线)电子邮件。网络安全研究人...
05月08日30 views评论apt
microsoft
渗透测试、红蓝攻防、代码审计基础环境搭建
搭建的基础环境分成三类。1、给了源代码,需要自己动手搭建的环境,如dvwa等。2、docker类的环境,如vulfocus,vulhub等环境已经集成了。3、vmware虚拟机靶场,这种靶场多涉及后渗...
05月04日256 views评论https
漏洞
目录遍历
针对我公司安全运营监测人员近期对客户进行威胁事件处理问题时发现,用户终端存在目录遍历漏洞。我司技术人员通关CTF环境对该漏洞类型进行复现,过程公布如下:1.目录遍历介绍目录遍历漏洞是由于网站存在配置缺...
04月26日42 views评论flag
网站
Apache Struts2 远程代码执行漏洞(s2-062 CVE-2021-31805) 预警及复现
漏洞详情Apache Struts2框架是一个使用Java EE网络应用程序的Web框架。Apache Struts2官方于2022年4月13日发布安全公告,攻击者可构造恶意的OGNL表达式触发漏洞,...
04月22日65 views评论cve
https
14