记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

几次攻防演练的经验分享

2020-11-02 01:20
  1. 资产搜集很重要,除了FOFA一顿搜以外,打开网站的主页看看,各种超链接说不定也是单位资产。

  2. shiro永远的神!

  3. 对于互联网资产很少的单位,或者很难搞的单位,可以趁早考虑钓鱼,不要想着等几天没进展了再做钓鱼,因为一般攻防演练也就是一个星期左右,你等几天再搞,说不定别人多少天才看一次邮件。早点动手上线的机率更大,要不然等搞完了才上线了就很尴尬了。

  4. CS的马做钓鱼的时候,不要直接就硬上线了,CND隐藏等等安排上,做好防溯源。

  5. 弱口令永远修复不了的漏洞,很多口子就是通过弱口令撕开的。

  6. 传统的邮件钓鱼的效果已经很不理想了,实时性是一个很大的问题,很多人一个月半年才看一次邮件。可以考虑与WEB漏洞相结合的办法,拿到OA等等这些WEB程序的权限或者弱口令以后,发公告,发工单的方法进行钓鱼。

  7. 还有旁站,2020年了没想到还有很多单位买不起服务器,搜集资产的时候不要忘了看旁站。

  8. OA系统里面的各种电话号码姓名等等都可以搜集起来,这就是下次爆破的物料。

  9. 各个官网下面的邮箱,丢进库里面查一下,说不定有惊喜。

  10. 代理的问题,一把大一点的赛事都会有人封IP。自己扫ip做代理池或者买网络上别人提供的服务器,一天好像也就十几块钱。


知识来源: https://mp.weixin.qq.com/s?__biz=MzU5MTExMjYwMA==&mid=2247484777&idx=1&sn=2d33fe84296d03fc8b0e5edb9365c2d2

阅读:182815 | 评论:0 | 标签:攻防

想收藏或者和大家分享这篇好文章→复制链接地址

“几次攻防演练的经验分享”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁