转载自( K 顺丰安全应急响应中心):https://mp.weixin.qq.com/s/ew13ir5IrEYDR2VOM1ZRmQ
一次真实的攻防演练-从JS到内网横向
前言 前段时间参加了一场攻防演练,使用常规漏洞尝试未果后,想到不少师傅分享过从JS中寻找突破的文章,于是硬着头皮刚起了JS,最终打开了内网入口获取了靶标权限和个人信息。在此……
钓鱼场景下微信聊天记录回传
一、使用场景 钓鱼攻击(通过钓鱼 / 微信控到的机器通常都是登录状态) 渗透到运维机器(有些运维机器会日常登录自己的微信) 实战中钓鱼时常在微信聊天记录中找到目标内网系统账号……
华为开源治理实践分享
2022年12月28日第二届全球DevSecOps敏捷安全大会(DSO 2022)通过全球直播的形式圆满举行。本届大会以“共生·敏捷·进化”为主题,以“敏捷共生,守护中国软件供应链安全”为使命,立足……
禅道项目管理系统远程命令执行漏洞
0x01 漏洞介绍 禅道项目管理系统远程命令执行漏洞,禅道是第一款国产的开源项目管理软件,它的核心管理思想基于敏捷方法 scrum,内置了产品管理和项目管理,同时又根据国内研发现状……
K8S后渗透横向节点与持久化隐蔽方式探索
前言 通常在红蓝对抗中,我们可能会通过各种方法如弱口令、sql注入、web应用漏洞导致的RCE等方法获得服务器的权限;在当前云原生迅猛发展的时代,这台服务器很可能是一个容器,在后……
技术干货 | 甲方利用开源工具进行钓鱼演练
演练前准备工作✦ 钓鱼演练需求背景 “ 目前肉眼可见的甲方两大安全工作KPI,一类是政策合规数据合规,第二类是应对各种大型攻防演练检测。在攻防演练中大家……