10 2017 档案
摘要:一、前言 横向渗透攻击技术是复杂网络攻击中广泛使用的一种技术,特别是在高级持续威胁(Advanced Persistent Threats,APT)中更加热衷于使用这种攻击方法。攻击者可以利用这些技术,以被攻陷的系统为跳板,访问其他主机,获取包括邮箱、共享文件夹或者凭证信息在内的敏感资源。攻击者可以
阅读全文
摘要:CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗
阅读全文
摘要:阅读目录 1、简介 2、CSRF攻击原理 3、CSRF例子与分析 3.1、简单级别CSRF攻击 3.2、中级别CSRF攻击 3.3、高级别CSRF攻击 4、CSRF防御方法 5、参考文献 阅读目录 1、简介 2、CSRF攻击原理 3、CSRF例子与分析 3.1、简单级别CSRF攻击 3.2、中级别C
阅读全文
摘要:0x01 CSRF的攻击原理 CSRF 百度上的意思是跨站请求伪造,其实最简单的理解我们可以这么讲,假如一个微博关注用户的一个功能,存在CSRF漏洞,那么此时黑客只需要伪造一个页面让受害者间接或者直接触发,然后这个恶意页面就可以使用受害者的微博权限去关注其他的人微博账户。CSRF只要被批量化利用起来
阅读全文
摘要:利用Beef劫持客户端浏览器 环境: 1.Kali(使用beef生成恶意代码,IP:192.168.114.140) 2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.114.204) 3. 客户端(用于访问web服务器,IP:192.168.114.130) 步骤: 1.
阅读全文
摘要:环境: 1.Kali(使用beef生成恶意代码,IP:192.168.114.140) 2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.114.204) 3. 客户端(用于访问web服务器,IP:192.168.114.130) 步骤: 1. Kali使用beef生成恶意代
阅读全文
摘要:在近期的渗透测试项目中,在短信平台相关功能都出现了一些问题,现对渗透过程中发现,及wooyun上出现的相关短信平台的几类问题做个整理。 一、短信发送无频率限制 通过wooyun上搜索可见,该类漏洞是最为常见的。 漏洞相关链接: 万网发验证信息,无限时。无限次数形成短信轰炸 http://www.wo
阅读全文
摘要:0x00 思维导图 0x01 静默收集(目标无日志记录) 搜索引擎 Google hacking FoFa Shodan zoomeye Censys bing twitter 微步在线 whois查询反查 ip 旁站 WHOIS中包含域名注册者的姓名,邮箱 ,电话,地址,dns服务器 等信息 获得
阅读全文
摘要:1.目标获取 (1)fofa.so网站使用搜索body="Openfire, 版本: " && country=JP,可以获取日本存在的Openfire服务器。如图1所示。 图1搜索目标 2.暴力或者使用弱口令登录系统 一般弱口令admin/admin、admin/admin888、admin/12
阅读全文
摘要:事故管理分为主动和积极两种流程。应该采用主动措施,从而可以真正以可控的方式检测事故,只有主动措施设置到位,才能正确处理事故。 多数公司只有事故响应流程,这个所谓的事故响应流程仅仅只是涉及到如何处理事故。假如没有找到事故发生的根本原因,而一味的只是消除告警(例如监控系统设置忽略xxx告警),最后安全事
阅读全文
摘要:鸣 谢 VSRC感谢业界小伙伴——老陈投稿精品原创类文章。VSRC欢迎精品原创类文章投稿,优秀文章一旦采纳发布,将有好礼相送,我们为您准备的丰富奖品包括但不仅限于:MacbookAir、VSRC定制雨伞,VSRC定制水杯以及VSRC定制充电宝!(活动最终解释权归VSRC所有) 本文档将介绍:如何通过
阅读全文
摘要:0×01 引言 在实际渗透过程中,我们成功入侵了目标服务器。接着我们想在本机上通过浏览器或者其他客户端软件访问目标机器内部网络中所开放的端口,比如内网的3389端口、内网网站8080端口等等。传统的方法是利用nc、lcx等工具,进行端口转发。 适用端口转发的网络环境有以下几种: 1. 服务器处于内网
阅读全文
浙公网安备 33010602011771号