攻防演练 - 第 15 | CN-SEC 中文网

HW&HVV

攻防演练中log4j2的简单利用-攻防演练

0x01 前言仍记得是上上个月，突然来了一份报告，报告内容应该是前不久的一次攻防，学校的统一认证有个log4j，被漫游进了内网，现在客户就需要验证漏洞是否存在，快到下班点了，就随手照着...

04月29日33 views评论

阅读全文

安全闲碎

国家信息安全漏洞共享平台正式开始收录蜜罐

群里师傅所传，真假自辩，如有虚假，立即删除原文始发于微信公众号（零漏安全）：国家莫信息安全漏洞共享平台正式开始收录蜜罐

04月28日66 views评论

阅读全文

安全工具

BurpAPIFinder ：未授权/敏感信息/越权/JS文件/登陆接口的插件

01 工具介绍攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，通过该Burp插件我们可以： 1、发现通过某接口可以进行未授权/越权...

04月28日51 views评论

阅读全文

HW&HVV

护网怎么做，护网前、护网中，护网后，总共60道工序，一道一道讲清楚

小道消息，听说今年护网要提前了，具体啥时候谁也说不准啊，毕竟这是国家公开的秘密（咋说也是秘密）。毕竟经历过20年干了1天全员叫停，个把月后重新开始；经历过22年满城情报不知真假，反正看不到开启动会，永...

04月24日72 views评论

阅读全文

安全文章

攻防演练-实战中的外网突破

在经历了多年的攻防对抗之后，大量目标单位逐渐认识到安全防护的重要性。因此，他们已采取措施尽可能收敛资产暴露面，并加倍部署各种安全设备。但安全防护注重全面性，具有明显的短板...1、供应链在经历了多年的...

04月23日18 views评论

阅读全文

HW&HVV

2024HW攻防演练之资产收敛

前言据说今年的攻防演练马上又要开始了，很多企业都开始了前期的准备工作。资产的梳理，暴露面收敛是前期必须做且要做好的工作。不知道大家有没有听过一个木桶原理“由多块木板构成的木桶，其价值在于其盛水量的多...

04月17日84 views评论

阅读全文

HW&HVV

从信息泄漏到Getshell-攻防演练

0x01 前言在一次攻防演练打点过程中，前期先从备案查询、子域名收集、端口扫描等方式获取资产URL。最终通过自己整理的字典进行目录扫描找到利用点成功Getshell站点！文字写的有点多但...

04月15日77 views评论

阅读全文

安全文章

实战攻防经典攻击路径案例

实战攻防课程由某大厂攻防实验室攻击手开发并讲授，讲师拥有丰富的红队经验和一线安全服务经验，多次担任国家级攻防演练攻击手及省级攻防演练攻击手，荣获多个“最佳攻击手、优秀攻击手”称号。熟练掌握外网打点、钓...

04月12日38 views评论

阅读全文

安全文章

攻防演练 | 记一次内网渗透过程

扫码领资料获网安教程本文由掌控安全学院 - mt0u 投稿记录一次内网渗透过程0x01 前言：一切以学习为主，记录一次小小的攻击过程本次是通过外网漏洞撕开的口子，主要通过一下方式拿到了目标资产nday...

04月11日37 views评论

阅读全文

安全文章

攻防演练 | redis艰难写shell进入内网

扫码领资料获网安教程本文由掌控安全学院 - 没勇气先生投稿背景某地市级攻防演练要求拿到指定单位的靶标系统（必须是web后台管理权限+数据库+服务器）正式开始redis未授权首先通过信息收集获取到了一...

04月10日36 views评论

阅读全文

安全文章

SRC-逻辑漏洞在企业商城中的危害扩大化

实战渗透课程由某大厂攻防实验室攻击手开发并讲授，讲师拥有丰富的红队经验和一线安全服务经验，多次参与国家级攻防演练攻击手及省级攻防演练攻击手，荣获多个“最佳攻击手、优秀攻击手”称号。熟练掌握外网打点、钓...

04月02日28 views评论

阅读全文

HW&HVV

某地市级攻防演练任意文件上传突破靶标

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。...

03月28日84 views评论

阅读全文

在线咨询

微信