安全文章

如何追踪钓鱼网站

临近新年,和以往一样早上到公司打开邮件来回翻翻,突然发现邮箱内有一封钓鱼邮件,想想闲来无事就对该邮件进行了分析,找找黑客还有没有其他钓鱼资产。 这是一封关于修改密码的邮件,正文中附有钓鱼网站链接mai...
admin 11月27日46 views评论源码 邮件
阅读全文
HW&HVV

钓鱼佬永不空军

从小为了钓到大鱼,我和小伙伴们总是想办法调制适合鱼口味的饵料。为了骗到大家,骗子可算是绞尽了脑汁。00 钓鱼分类我大致把钓鱼分为两类:一是“口令凭证窃取”,主要是为了窃取用户的邮箱密码信息,窃取用户的...
admin 11月13日32 views评论密码 钓鱼
阅读全文
HW&HVV

一次钓鱼到快速打穿

背景21年中旬的一个对某互联网公司的红队项目,为期5天。客户要求最终能获取堡垒机权限,客户安全部门全部人员投入对网络进行防守。前期信息收集fofa、quake搜寻子域名、证书、高命中C段,到处信息寻找...
admin 11月06日37 views评论gitlab 邮箱
阅读全文
安全文章

src|简简单单任意用户注册

作为一名登陆口对抗工程师,看到这样的注册框自然是要碰一碰的 先输入邮箱以及对应信息,发现姓名可以随便,没有校验: 点击注册之后,会向邮箱发送一封验证邮件,这是比较常见的(这里提示注册成功其实并没有,需...
admin 10月22日22 views评论信息 邮件
阅读全文
安全文章

LDAP注入的深入利用

前言 在最近的一次的src测试中遇到了ldap注入漏洞,目标是一个管理平台的单点登陆入口,漏洞存在于用户名存在判断处. 之前渗透测试的时候我也遇到过几个生产环境中ldap注入的漏洞,但是都只能获取到有...
admin 09月28日24 views评论cn ldap
阅读全文