此文为某次实战项目案例总结,分为「上」、「下」两篇,主要涉及知识有免杀、钓鱼攻击、社会工程学、域渗透等等。此篇文章主要描述了我们是如何在外网通过钓鱼的方式快速进入目标内网。下篇文章讲述的主要内容涉及以...
05月16日47 views评论信息
钓鱼
一次高难度红队行动「上」
05月16日47 views评论信息
钓鱼
05月16日47 views评论信息
钓鱼
CVE-2024-21413 Outlook远程代码执行漏洞分析
一、前言Microsoft Office Outlook是微软office的组件之一,也是常用的邮件客户端之一。CVE-2024-21413 是在 Microsoft Outlook 中发现的一个重大...
04月24日31 views评论域名
邮件
实战 | 通过文件上传绕过getshell
前言 开始之前,先对环境进行一个简单的描述,由于这次目标单位属于传统行业,人员整体安全意识较弱,所以前期准备了邮件信息收集和钓鱼,另外不清楚目标服务器是不是做了特殊设置,邮件一直发不过去,之后对邮件服...
03月28日41 views评论getshell
信息收集
邮件域名防止伪造的三种方式
在进行垃圾邮件投放时,经常会伪造知名平台的邮件来作为发送方,来提高用户对邮件的信任度,提高钓鱼邮件的成功率,但是作为知名公司,要尽量避免自家的域名成为黑客利用的目标,从而降低公司信誉,所以要对自家的域...
03月28日21 views评论ip
域名
TA577利用ZIP附件窃取NTLM哈希
The threat actor known as TA577 has been observed using ZIP archive attachments in phishing emails w...
03月08日19 views评论ntlm
邮件
【优质软文】一次真实的钓鱼邮件演练
0x00故事是这样的 1、购买域名腾讯官网购买一个和目标域名相似的域名,微信扫码登录,直接购买即可,15块钱左右。(阿里云等其他渠道购买也行) 2、搭建邮件服务器 购买一台公网服务器搭建邮件服务器,我...
02月20日40 views评论域名
钓鱼邮件
实战 | 记一次有趣的文件上传绕过getshell
免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。...
02月17日14 views评论getshell
信息收集
钓鱼手法及木马免杀技巧
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 钓鱼是攻防对抗中一种常用的手段,攻击者通常伪装成可信任的实体,例如合法的机构、公司或个人,以引诱受害者揭...
02月10日21 views评论邮件
钓鱼
CVE-2023-7028__Gitlab任意用户密码重置 复现
CVE-2023-7028漏洞描述:攻击者通过构造恶意请求,接收密码重置链接。重置目标账户密码接管账户。影响版本:16.1 <=GitLab CE<16.1.616.2 <=GitL...
01月15日46 views评论gitlab
邮件
利用机器学习进行恶意邮件识别
#01 引言 随着互联网的普及和电子邮件的广泛应用,恶意邮件已成为网络安全领域的一大公害。这些邮件往往携带病毒、恶意软件或诈骗信息,对个人和企业造成巨大的...
01月11日268 views评论机器学习
邮件
Gmail XSS漏洞分析
研究人员对Gmail中通过DOM Clobbering针对AMP4Email的XSS漏洞进行了分析。2019年8月,研究人员发现了AMP4Email的XSS漏洞,并提交给Google。该XSS漏洞是浏...
12月29日39 views评论id
邮件
民生银行邮件数据防泄露落地实践|大湾区金融安全专刊·安全村
摘要:为了预防并有效阻止有意或无意的邮件数据泄露行为,保障企业邮件数据安全,本文介绍一套邮件数据泄露防护体系,重点实现敏感邮件信息检查、实时阻断、外发审批、身份认证平台联动等功能,既满足监管要求保障数...
12月17日146 views评论数据安全
数据泄露
22