安全文章

红队攻击:资源开发

公众号安全攻防渗透期待你的关注~ 0x01 购买基础设施-域名 描述 攻击者可能会购买可在对目标进行攻击中使用的域名。域名是用于代表一个或多个IP地址的可读名称。它们可以被购买,或者在某些情况下,免费...
阅读全文
安全工具

溯源工具总结

HW中蓝队人员一方面需要耗费大量时间和精力去溯源攻击者身份信息,另一方面还要对攻击源进行反制工作。除此之外还要掌握恶意文件分析,应急响应技能。目前防守方已经开始主动出击,惯用手段有部署蜜罐、部署仿真钓...
阅读全文
安全文章

信息收集的方法(一)

一.敏感信息文件 攻防测试中探测web目录和隐藏的敏感文件是很重要环境,从中可以获取很多敏感信息例如网站后台管理页面、文件上传界面、备份文件等。 1.通过工具扫描的方式 dirsearch,御剑,7k...
阅读全文
安全文章

浅谈信息收集

众所周知渗透测试的本质是信息收集,在渗透测试中信息收集的质量直接关系到渗透测试成果的与否。在对系统进行渗透测试前的信息收集是通过各种方式获取所需要的信息,收集的信息越多对目标进行渗透的优势越有利。通过...
阅读全文
安全文章

通过更改LOGO进行命令注入的故事

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。侦查:通常,上手‘宽范围’目标的第一件事就...
阅读全文