今天看啥  ›  专栏  ›  蚁景网络安全

攻防演练实战小记

蚁景网络安全  · 公众号  ·  · 2024-12-17 17:40
    

文章预览

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 0x01 背景 参加了某次地市攻防演练,限制目标单位但不限目标系统,只要能够证明属于攻击单位目标资产的系统均可计分。主要规则:一、获取权限(攻击路径):得分上限的对象是单个防守单位及其所有下属机构。根据不同系统不同权限给分 二、突破网络边界:整个目标单位突破同一类网络边界只给一次分。三、获取目标系统权:互联网、业务内网、核心生产网。四、数据分,不再一一介绍 0x02 获取服务器权限 通过信息收集获取目标单位备案IP hunter和夸克等资产引擎上可利用的信息有但不多。 全端口扫描发现某票务系统 根据已知poc,通过文件上传漏洞获取服务器webshell POST /SystemManager/Comm/CommFunHandler.ash ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览