攻防演练 - 第 21 | CN-SEC 中文网

韭要聊聊红队打点过程

仅为抛砖引玉，各位大佬勿喷先来聊聊啥是红队打点，个人理解是：打点就是从0到1，是撕开口子的过程，和常规安服的渗透测试不同，安服的渗透测试限制得比较死，可能是给你个准备上线的平台要求按漏洞点挖，也可能是...

11月13日安全文章27 views评论

阅读全文

HW&HVV

记一次攻防演练利用微信公众号文件上传获取shell

之前一次攻防演练，我看着一堆资产但是一个目标都不知道该咋打找不到什么能打的东西。然后我就试着找找公众号说不定公众号里面会有什么东西试试。然后发现目标公众号有个报故障的地方，可以上传文件。然后我当时上传...

11月05日54 views评论

阅读全文

安全文章

一次SQL注入新用法

在参加某市攻防演练的时候，发现目标站，经过一系列尝试，包括弱口令、SQL注入等等尝试后，未获得到有效的入口点。在准备放弃之时，看到页脚的banner：xxxxx信息科技有限公司 [!... 0.前言 ...

11月03日62 views评论

阅读全文

HW&HVV

【重点收藏】一文梳理攻防演练流程

申明：文章中涉及操作均已提前获得客户授权许可，敏感信息已脱敏处理。相关案例仅供信息安全从业者参考，尝试利用攻击属违法行为! 0x01 前言近期参加了好几场攻防演练，跟着团队里的小伙伴学到了很多东西，...

11月03日173 views评论

阅读全文

安全文章

记一次攻防演练从弱口令到getshell

在某次攻防演练中发现了一个系统，尝试弱口令登录发现登录成功。查看图片的时候发现存在目录遍历风险可通过该风险获取敏感信息，例如用户的身份证信息合同信息。并且还在众多文件中发现演习前的攻击行为（已提交...

11月03日51 views评论

阅读全文

HW&HVV

攻防演练之区域性攻防打点总结

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与...

10月30日92 views评论

阅读全文

安全文章

记录一次攻防演练实战过程

记录一次攻防演练实战过程，个人技术有限，本次攻防挖掘到的都是一些常见的漏洞一：后台文件读取漏洞通过前期的信息收集，知道了该目标使用了DTcms框架，从网上搜索该cms的漏洞，但是都被做了限制，在后台测...

10月27日60 views评论

阅读全文

安全文章

攻防演练技巧分享之代理的妙用：QQ快捷登入

代理的妙用-QQ快捷登入目录○ 免责声明○ 前景提要○ 问题复现 ◇ 虚拟机环境 ◇ 母机环境○ QQ ClientKey利用 ...

10月27日50 views评论

阅读全文

HW&HVV

攻防演练技巧分享之代理的妙用：QQ快捷登入劫持

代理的妙用-QQ快捷登入目录○ 免责声明○ 前景提要○ 问题复现 ◇ 虚拟机环境 ◇ 母机环境○ QQ ClientKey利用 ...

10月27日46 views评论

阅读全文

安全文章

硝烟后的茶歇 | 中睿天下谈攻防演练之邮件攻击溯源实战分享

近日，由中国信息协会信息安全专业委员会、深圳市CIO协会、PCSA安全能力者联盟主办的《硝烟后的茶歇·广东站》主题故事会在深圳成功召开。活动已连续举办四年四期，共性智慧逐步形成《年度红蓝攻防系列全景图...

10月25日51 views评论

阅读全文

安全文章

记一次攻防演练找到简单突破口

首先拿到目标单位名在企查查等上面没查到有网址：然后从fofa上根据title搜到几个可以打开的系统，搜一下旁站信息，是bt建的站开局一个登录框，抓包查看信息，像这种明文账号、密码的一般是先查看是否有w...

10月20日65 views评论

阅读全文

安全文章

记一次攻防演练打点过程

免责声明：技术仅用以防御为目的的教学演示勿将技术用于非法测试，后果自负，与作者及公众号无关。遵守法律，共创和谐社会。感谢您的理解与支持！前言在如今错综复杂的网络环境，还有各种防护设备的加持，漏洞利用可...

10月14日23 views评论

阅读全文

在线咨询

微信