2024-11-29 微信公众号精选安全技术文章总览
洞见网安 2024-11-29
红队蓝军 2024-11-29 18:01:58
文章描述了对一个名为funbox5的目标进行渗透测试的过程。首先,通过多种信息收集工具如arp-scan、netdiscover和nmap等扫描目标网络192.168.56.0/24,发现活动主机及开放端口(重点是80和22)。接着针对特定IP 192.168.56.107使用dirsearch探测网站目录结构,并访问robots.txt文件与/drupal路径,发现网站基于WordPress。利用wpscan枚举用户并尝试爆破密码,成功获取到ben用户的SSH登录凭证。登录后得知ben属于mail组,但直接查看邮件服务相关文件权限受限。通过监听端口分析定位到POP3服务运行在110端口,使用telnet连接并以ben身份认证,阅读邮件获得另一个用户adam的凭据。最后,借助sudo提权至root级别,修改/etc/sudoers文件赋予adam更多权限,从而完成整个渗透过程。
信息收集
目录扫描
Web应用指纹识别
用户枚举
密码爆破
服务枚举
权限提升
文件操作
敏感信息泄露
渗透测试
360威胁情报中心 2024-11-29 17:18:30
毒云藤(APT-C-01)是一个活跃多年的APT组织,主要针对国防、政府、科技和教育领域进行网络攻击。该组织擅长使用钓鱼攻击,包括水坑钓鱼和鱼叉式钓鱼,通过模仿官方网站制作钓鱼网页,诱导受害者下载恶意载荷。近期,该组织被观察到模仿官方网站进行定向钓鱼,下载的恶意载荷会加载Sliver RAT,进行窃密和远程控制。360高级威胁研究院揭露了该组织的攻击流程,提醒用户加强安全意识,避免执行未知链接和样本,防止敏感信息泄露。
宸极实验室 2024-11-29 17:03:38
比赛中遇到的一次白盒AES
小呆安全 2024-11-29 16:45:24
前端 JS 解密:一次简单高危漏洞案例
SSP安全研究 2024-11-29 12:52:57
掌控安全EDU 2024-11-29 12:03:16
深信服千里目安全技术中心 2024-11-29 11:39:55
深盾终端实验室发现了一起利用微信等其它IM软件钓鱼的相关样本
HW安全之路 2024-11-29 11:01:44
随着互联网技术的飞速发展,网络安全威胁也在不断升级。其中,IP地址欺骗(IP Spoofing)作为一种古老但依然有效的攻击手段,一直是黑客最常用的工具之一。
simple学安全 2024-11-29 10:27:31
验证码回显漏洞
骨哥说事 2024-11-29 09:54:07
神农Sec 2024-11-29 09:38:35
人若无名,便可专心练剑!
剁椒Muyou鱼头 2024-11-29 09:17:40
C-Lodop云打印服务器是一款云打印工具,如何修复C-Lodop打印服务系统文件读取漏洞(CNVD-2019-43826)。
白泽安全实验室 2024-11-29 09:02:34
APT组织Lazarus 在Rootkit(获取内核权限)攻击中使用了微软的0day漏洞;APT组织Kimsuky利用软件公司产品安装程序进行伪装展开攻击;NoName057(16)组织DDoSia项目持续更新;
富贵安全 2024-11-29 08:55:32
LFI漏洞
RCE漏洞
漏洞利用
日志文件访问
符号链接
HTTP请求头利用
脚本小子 2024-11-29 08:30:13
白帽学子 2024-11-29 08:11:59
文章详细摘要:作者参与了一次针对WAF的安全演练,使用名为nowafpls的开源工具进行测试。该工具通过在HTTP请求中插入垃圾数据来尝试绕过WAF防护,包括URLEncoded、XML和JSON格式。测试发现,当请求大小超过AWS WAF默认配置的最大包限制时,WAF不再检测这些请求。文章讨论了WAF的重要性及其局限性,强调了渗透测试的重要性,以及自动化工具在安全测试中的作用。同时,指出了安全意识教育的重要性,并提供了工具的下载链接。
WAF绕过技术
