摘要:0x00 漏洞描述 Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。 Atlassian Jira Server和Jira Data Center存在服务端模板注入漏洞,成功利用此漏洞的攻击者可对运行受影响版本的J 阅读全文
posted @ 2019-09-29 16:10 渗透测试中心 阅读 (78) 评论 (0)
编辑
摘要:0x00 漏洞背景 Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。 0x01 影响范围 阅读全文
posted @ 2019-09-29 16:01 渗透测试中心 阅读 (47) 评论 (0)
编辑
摘要:0x00 漏洞描述 Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广如:windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击,该服务器漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞 阅读全文
posted @ 2019-09-07 18:54 渗透测试中心 阅读 (2837) 评论 (0)
编辑
摘要:0x00 准备钓鱼攻击(从公开资源) 1.常见的红队攻击向量和技术 2.常见的蓝队侦查和预防控制 0x02 发送钓鱼邮件(到目标组织员工邮箱地址) 1.常见的红队攻击向量和技术 2.常见的蓝队侦查和预防控制 0x03 发送payload(到目标组织的员工系统) 1.常见的红队攻击向量和技术 2.常见 阅读全文
posted @ 2019-09-02 12:47 渗透测试中心 阅读 (397) 评论 (0)
编辑
摘要:情报收集与外网打点 因为起晚了..第一个议题没听着,有点遗憾,补张图 基础设施架构设计部署 普通架构:红队人员--》teamserver cs--》目标机 缺点:功能未分离、无潜伏通道、回连日志多、灵活性较低 演进架构:DNS/HTTP/HTTPS分离server tips:1~2cpu 2G内存 阅读全文
posted @ 2019-09-02 12:26 渗透测试中心 阅读 (313) 评论 (0)
编辑
摘要:0x00、Red Team建设目标 在平时听新闻联播,军事解决当中,我们都会听到红蓝军对抗,在信息安全行业与军方的一些相似性,网络世界Red Team就是攻击者的一方。安全能力的提升,在安全威胁没有挖掘出来之前,只能通过攻防对抗的形式体现出来。 Red Team主要专注对不同系统的渗透测试以及各种安 阅读全文
posted @ 2019-08-30 16:45 渗透测试中心 阅读 (152) 评论 (0)
编辑
摘要:0x00 什么是红队 红队,一般是指网络实战攻防演习中的攻击一方。 红队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击;通过实现系统提权、控制业务、获取数据等目标,来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。 红队人员并不是一般意义上的电脑黑客 阅读全文
posted @ 2019-08-30 16:35 渗透测试中心 阅读 (436) 评论 (0)
编辑