f10@t's blog

f10@t's blog

St@y HuNgRy, St@y f00l1sh.

loading
记录一次对win2k3 Enterprise Edition的永恒之蓝利用

好久不写博客了,也是慢慢的明确了自己想要学习渗透测试的方向,开始不断的接触新姿势和新思想。今天主要想用永恒之蓝这个漏洞来对Metaspl oit的使用熟练程度、分析流程以及Meterpreter后渗透的一些手法进行小结和复习。

kali-渗透测试-信息收集3

第三部分。首先要明确这些都属于前期的被动信息收集,并没有与目标发生直接的网络接触。下面介绍常用的搜索引擎使用方法

Metasploit渗透测试魔鬼训练营-客户端渗透攻击

客户端攻击(Client-side-Exploit)值攻击者构造畸形数据发送给目标主机,用户在使用该含有漏洞的客户端应用程序处理这些数据时,发生程序内部处理流程的错误,执行了内嵌与数据中的恶意代码,从而导致了渗透入侵。常见于浏览器、Office为代表的流行应用软件。

Metasploit渗透测试魔鬼训练营-web应用渗透

OWASP Top 10 - 2017

  1. Injection(注入)
  2. Broken Authentication(认证管理缺陷)
  3. Sensitive Data Exposure(敏感数据暴露)
  4. XML External Entities (XXE)
  5. Broken Access Control(失效的访问控制)
  6. Security Misconfiguration(安全配置错误)
  7. Cross-Site Scripting (XSS)
  8. Insecure Deserialization(不安全的反序列化)
  9. Using Components with Known Vulnerabilities(使用具有已知漏洞的组件)
  10. Insufficient Logging&Monitoring(记录和监控不足)
avatar
lzwgiter
看清自己,认识世界