在参加某市攻防演练的时候,发现目标站,经过一系列尝试,包括弱口令、SQL注入等等尝试后,未获得到有效的入口点。在准备放弃之时,看到页脚的banner:xxxxx信息科技有限公司 [!... 0.前言 ...
【重点收藏】一文梳理攻防演练流程
申明:文章中涉及操作均已提前获得客户授权许可,敏感信息已脱敏处理。相关案例仅供信息安全从业者参考,尝试利用攻击属违法行为! 0x01 前言 近期参加了好几场攻防演练,跟着团队里的小伙伴学到了很多东西,...
记一次攻防演练从弱口令到getshell
在某次攻防演练中发现了一个系统,尝试弱口令登录发现登录成功。 查看图片的时候发现存在目录遍历风险可通过该风险获取敏感信息,例如用户的身份证信息合同信息。 并且还在众多文件中发现演习前的攻击行为(已提交...
攻防演练之区域性攻防打点总结
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
记录一次攻防演练实战过程
记录一次攻防演练实战过程,个人技术有限,本次攻防挖掘到的都是一些常见的漏洞一:后台文件读取漏洞通过前期的信息收集,知道了该目标使用了DTcms框架,从网上搜索该cms的漏洞,但是都被做了限制,在后台测...
攻防演练技巧分享之代理的妙用:QQ快捷登入
代理的妙用-QQ快捷登入目录○ 免责声明○ 前景提要○ 问题复现 ◇ 虚拟机环境 ◇ 母机环境○ QQ ClientKey利用 ...
攻防演练技巧分享之代理的妙用:QQ快捷登入劫持
代理的妙用-QQ快捷登入目录○ 免责声明○ 前景提要○ 问题复现 ◇ 虚拟机环境 ◇ 母机环境○ QQ ClientKey利用 ...
硝烟后的茶歇 | 中睿天下谈攻防演练之邮件攻击溯源实战分享
近日,由中国信息协会信息安全专业委员会、深圳市CIO协会、PCSA安全能力者联盟主办的《硝烟后的茶歇·广东站》主题故事会在深圳成功召开。活动已连续举办四年四期,共性智慧逐步形成《年度红蓝攻防系列全景图...
记一次攻防演练找到简单突破口
首先拿到目标单位名在企查查等上面没查到有网址:然后从fofa上根据title搜到几个可以打开的系统,搜一下旁站信息,是bt建的站开局一个登录框,抓包查看信息,像这种明文账号、密码的一般是先查看是否有w...
记一次攻防演练打点过程
免责声明:技术仅用以防御为目的的教学演示勿将技术用于非法测试,后果自负,与作者及公众号无关。遵守法律,共创和谐社会。感谢您的理解与支持!前言在如今错综复杂的网络环境,还有各种防护设备的加持,漏洞利用可...
实战性攻防演练都在做什么
“历史和人生一样,瞬间酿成的大错,即使用尽千年,也无法赎回倏然造成的损伤。”就像那道被人遗忘的凯尔卡门。 ...
速报!境外APT团伙连续两年在攻防演练活动中浑水摸鱼
概述奇安信威胁情报中心在最近的威胁狩猎中捕获到了一封极其抽象的钓鱼邮件,邮件标题为《奇安信HVV2023安全风险通告》,发件人伪造奇安信m-team运营团队向我们的重点客户投递钓鱼邮件,邮件内容为海莲...
36