小道消息,听说今年护网要提前了,具体啥时候谁也说不准啊,毕竟这是国家公开的秘密(咋说也是秘密)。毕竟经历过20年干了1天全员叫停,个把月后重新开始;经历过22年满城情报不知真假,反正看不到开启动会,永...
攻防演练-实战中的外网突破
在经历了多年的攻防对抗之后,大量目标单位逐渐认识到安全防护的重要性。因此,他们已采取措施尽可能收敛资产暴露面,并加倍部署各种安全设备。但安全防护注重全面性,具有明显的短板...1、供应链在经历了多年的...
2024HW攻防演练之资产收敛
前 言据说今年的攻防演练马上又要开始了,很多企业都开始了前期的准备工作。资产的梳理,暴露面收敛是前期必须做且要做好的工作。不知道大家有没有听过一个木桶原理“由多块木板构成的木桶,其价值在于其盛水量的多...
从信息泄漏到Getshell-攻防演练
0x01 前言 在一次攻防演练打点过程中,前期先从备案查询、子域名收集、端口扫描等方式获取资产URL。最终通过自己整理的字典进行目录扫描找到利用点成功Getshell站点!文字写的有点多但...
实战攻防经典攻击路径案例
实战攻防课程由某大厂攻防实验室攻击手开发并讲授,讲师拥有丰富的红队经验和一线安全服务经验,多次担任国家级攻防演练攻击手及省级攻防演练攻击手,荣获多个“最佳攻击手、优秀攻击手”称号。熟练掌握外网打点、钓...
攻防演练 | 记一次内网渗透过程
扫码领资料获网安教程本文由掌控安全学院 - mt0u 投稿记录一次内网渗透过程0x01 前言:一切以学习为主,记录一次小小的攻击过程本次是通过外网漏洞撕开的口子,主要通过一下方式拿到了目标资产nday...
攻防演练 | redis艰难写shell进入内网
扫码领资料获网安教程本文由掌控安全学院 - 没勇气先生 投稿背景某地市级攻防演练要求拿到指定单位的靶标系统(必须是web后台管理权限+数据库+服务器)正式开始redis未授权首先通过信息收集获取到了一...
SRC-逻辑漏洞在企业商城中的危害扩大化
实战渗透课程由某大厂攻防实验室攻击手开发并讲授,讲师拥有丰富的红队经验和一线安全服务经验,多次参与国家级攻防演练攻击手及省级攻防演练攻击手,荣获多个“最佳攻击手、优秀攻击手”称号。熟练掌握外网打点、钓...
某地市级攻防演练任意文件上传突破靶标
免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。...
聪明的攻击者永远在寻找攻防不对称
聪明的攻击者永远都在寻找防守方最薄弱的环节,这个薄弱环节不是侥幸于防守方的疏忽,而是防守方的防守成本远远大于攻击成本的地方,而当前现状就是绝大部分的企业对于软件供应链的防守成本就是远大于攻击成本的地方...
在企业真实项目中攻防和渗透应该怎么干?项目应该如何交付
期待了几个月的实战课程终于开发好了,从课程规划到备课历时6个月。本课程联合某互联网大厂蓝军研究员、乙方大厂红队攻击手、乙方大厂情报研究员共同研究,倾情打造。实战攻防课程由某大厂攻防实验室攻击手弗西叮开...
实战|记一次攻防演练打点过程
免责声明本文章或工具仅供安全研究使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,极致攻防实验室及文章作者不为此承担任...