前 言据说今年的攻防演练马上又要开始了,很多企业都开始了前期的准备工作。资产的梳理,暴露面收敛是前期必须做且要做好的工作。不知道大家有没有听过一个木桶原理“由多块木板构成的木桶,其价值在于其盛水量的多...
从信息泄漏到Getshell-攻防演练
0x01 前言 在一次攻防演练打点过程中,前期先从备案查询、子域名收集、端口扫描等方式获取资产URL。最终通过自己整理的字典进行目录扫描找到利用点成功Getshell站点!文字写的有点多但...
实战攻防经典攻击路径案例
实战攻防课程由某大厂攻防实验室攻击手开发并讲授,讲师拥有丰富的红队经验和一线安全服务经验,多次担任国家级攻防演练攻击手及省级攻防演练攻击手,荣获多个“最佳攻击手、优秀攻击手”称号。熟练掌握外网打点、钓...
攻防演练 | 记一次内网渗透过程
扫码领资料获网安教程本文由掌控安全学院 - mt0u 投稿记录一次内网渗透过程0x01 前言:一切以学习为主,记录一次小小的攻击过程本次是通过外网漏洞撕开的口子,主要通过一下方式拿到了目标资产nday...
攻防演练 | redis艰难写shell进入内网
扫码领资料获网安教程本文由掌控安全学院 - 没勇气先生 投稿背景某地市级攻防演练要求拿到指定单位的靶标系统(必须是web后台管理权限+数据库+服务器)正式开始redis未授权首先通过信息收集获取到了一...
SRC-逻辑漏洞在企业商城中的危害扩大化
实战渗透课程由某大厂攻防实验室攻击手开发并讲授,讲师拥有丰富的红队经验和一线安全服务经验,多次参与国家级攻防演练攻击手及省级攻防演练攻击手,荣获多个“最佳攻击手、优秀攻击手”称号。熟练掌握外网打点、钓...
某地市级攻防演练任意文件上传突破靶标
免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。...
聪明的攻击者永远在寻找攻防不对称
聪明的攻击者永远都在寻找防守方最薄弱的环节,这个薄弱环节不是侥幸于防守方的疏忽,而是防守方的防守成本远远大于攻击成本的地方,而当前现状就是绝大部分的企业对于软件供应链的防守成本就是远大于攻击成本的地方...
在企业真实项目中攻防和渗透应该怎么干?项目应该如何交付
期待了几个月的实战课程终于开发好了,从课程规划到备课历时6个月。本课程联合某互联网大厂蓝军研究员、乙方大厂红队攻击手、乙方大厂情报研究员共同研究,倾情打造。实战攻防课程由某大厂攻防实验室攻击手弗西叮开...
实战|记一次攻防演练打点过程
免责声明本文章或工具仅供安全研究使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,极致攻防实验室及文章作者不为此承担任...
攻防演练必备的6款蓝队开源防御工具
实战化的攻防演习活动一般具有时间短、任务急等特点,作为防守方,蓝队需要在日常安全运维工作的基础上,从攻击者角度出发,了解攻击者的思路与打法,并结合本单位实际网络环境、运营管理情况,制定相应的技术防御和...
地市攻防演练-shiro反序列化
从目录扫描到shiro反序列化 声明:本文章中所涉及的技术均为得到相关授权的情况下使用,本文章仅作为技术分享所用,有涉及版权及隐私问题的请联系我,谢谢。01前 言针对普通登录框的系统相信...