社会工程学在渗透测试网站中如何利用?
社会工程学和前端安全。古典的社会工程学攻击案例:社会工程师利用人们的好奇心,或者贪图便宜的心理,让某人捡起不小心丢下的USB,在好奇心的驱使下,该人将该USB插入自己的计算机,打开带后门的...
admin
红队渗透网站的第一步 资产信息的搜集
无论是红队项目还是渗透项目,打分过程总是充满不确定性,在一个攻击面上充满了各种可能性,每一个对外开放的服务都可能成为我们进入内部网络的通道,随着每个人的关注点,进入内部网络的方式也多种多样。...
对企业邮箱的一次渗透测试过程
这个方法看起来是失败的,现在的思路是继续使用内部只有的一个账户进行内部钓鱼,看是否能获得高权限的账户,因为使用owa进行暴力破解需要经常分钱,而且根据前期的密码爆破的结果看再爆高价值用户的密...
对某子公司的授权渗透测试服务 挖掘aws秘钥漏洞
事情起源于邀请我进行授权渗透测试。这是第一个给我报酬的项目,我想做最好的事情。目标客户是15个以上国家有业务的公司,世界上有120个以上的子公司和1200万以上的用户。他们给了我域名和用户...
渗透某企业服务器的一次红队行动经验分享
此时,离这个行动结束还有两天,我们意识到尽可能短的时间内进行横向渗透,尽可能多地获得服务器主机。个人主机的权限非常不稳定,可用时间跟着上班时间,晚上不能工作了,和小伙伴分工,尽可能不引起大规...
对域服务器的渗透测试的一些办法
前几天帮朋友弄了个域名。很久没有域名了,感觉快被遗忘了。幸运的是,我终于突破了这个领域,但不是应朋友的要求以文章的形式写出来的。我简单整理了一些思路和测试过程中遇到的一些问题和解决方法,分享...
对物联网项目的一次黑盒渗透测试 上篇
在一个项目中,客户的需求是在完全黑盒的情况下开展渗透测试,目标是内部网络的物理隔离核心系统,因此展开了下一个测试行动。 那是1个艳阳高照的早上,我背个我的小书包来到客户楼下,掏出我的设备,准...
对物联网项目的一次黑盒渗透测试 下篇
我们从上面得到了172.16.*.*的新段落,接下来我对该段落进行了WEB端口的生存性检测,发现了路由管理界面。在这里尝试弱密码和爆破也没有得到相应的结果,但是现在我们的资产收集也没有新的...
对某厂商的登录功能的渗透测试 验证码漏洞
这是对某SRC制造商某业务的登录页面的测试,文章的相关漏洞现在正在修复。提取其中思想的精髓,与大家分享。开始登录框,一般情况下,我会马上打admin/123456。假如提示信息帐户不...
对网络安全公司的一次WIFI渗透测试 上篇
随着互联网和智能设备(手机、平板电脑、智能家电、智能机器人和智能查询终端)的快速发展,传统企业信息化必然向物联网过渡。第一,会节省企业的建设和运营成本(比如部署WiFi/IP摄像头可以减少...