2. 程式人生 > >【紅日安全-VulnStack】ATT&CK實戰系列——紅隊實戰(—)

【紅日安全-VulnStack】ATT&CK實戰系列——紅隊實戰(—)

阿新 發佈:2020-11-23

一、環境搭建

1.1 靶場下載

靶場下載地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 靶機通用密碼: hongrisec@2019 登進去要修改密碼,改為 HONGRISEC@2019

1.2 網絡卡配置

kali一個nat網絡卡,模擬外網攻擊機 win7一個nat網絡卡,一個VMnet 1網絡卡,模擬web伺服器 win2003一個VMnet 1網絡卡,模擬內網域成員主機 win2008一個VMnet 1網絡卡,模擬內網域控主機 拓樸圖如下:  (win7為VM1,win2003為VM2,win2008為VM3) 設定完畢後VM1、VM2、VM3就在同一內網中了,只有VM1web伺服器能夠訪問內網,所以要想訪問win2008和win2003伺服器必須要先拿下win7伺服器,用它做跳板進內網進行橫向滲透。   攻擊機: kali ip:192.168.168.133 win10 ip: 192.168.168.128 靶機: win7 外網ip:192.168.168.134   內網ip:192.168.52.143 win03 ip: 192.168.52.141 win08 ip: 192.168.52.138   最後,在win7上使用phpstudy開啟web服務。 配置完畢。

二、外網滲透

nmap掃描,發現開放了80、3306埠 目錄掃描

相關推薦

紅日安全-VulnStackATT&CK實戰系列——實戰(—)

一、環境搭建 1.1 靶場下載 靶場下載地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 靶機通用密碼: hongrisec@2019 登進去要修改密碼,改為 HONGRISEC@2019 1.2 網絡卡配置 kali一個nat網絡卡,模擬外網

JAVAWEB學習筆記12_Http&Tomcat

請求重定向 san res tor tomcat啟動 zha rac pac b- 一、Http協議 1.什麽是Http協議 HTTP,超文本傳輸協議(HyperText Transfer Protocol)是互聯網上應用最為廣泛的 一種網絡協議。所有的WWW文

JAVAWEB學習筆記16_session&cookie

發送 學習筆記 獲得 tab esp http 應用 區分 pac 會話技術Cookie&Session 學習目標 案例一、記錄用戶的上次訪問時間---cookie 案例二、實現驗證碼的校驗----session 一、會話技術簡介 1.存儲客

Python基礎 day21random & 序列化 & 異常處理 & Os

lena 否則 ive 參數 isf pen before 自動 pyc random模塊:選擇功能只能對序列類型進行叠代 >>> import random #隨機生成小數 >>> random.random()#random.ran

每日安全資訊Intel處理器曝安全漏洞 官方:無影響 非獨有

處理器行業今年被熔斷、幽靈兩大安全漏洞搞得滿城風雨,現在,芬蘭坦佩雷理工大學、古巴哈瓦那技術大學的五位研究人員,又在Intel處理器內發現了一個新的安全漏洞,命名為“PortSmash”,可導致加密資訊洩露。據悉,該漏洞屬於側通道攻擊(Side-Channel Attack)型別,影響所有支

每日安全資訊藍芽bug影響數以百萬計的Wi-Fi接入點

安全公司 Armis 在德州儀器生產的藍芽低功耗晶片發現了兩個高危漏洞,能被利用入侵使用這些晶片的Wi-Fi 接入點。思科、Meraki 和 Aruba 出售的裝置受到影響,補丁已經釋出,受影響的使用者需要儘可能快的更新。安全研究人員還給漏洞起了一個綽號叫 BLEEDINGBIT。

每日安全資訊研究人員實現在指紋裡編碼祕密資訊

指紋不只是代表一個人的身份,它也許還能傳遞資訊。中國復旦大學的研究人員在《IEEE Transactions on Image Processing》上發表論文,描述了如何在指紋裡編碼祕密資訊的方法。 指紋中的某些特徵如溝脊和分叉圖案可以編碼資訊,研究人員首先將想要編碼的祕密資訊編碼到多

每日安全資訊安全專家發現Edge零日漏洞:可遠端執行程式碼

安全研究專家Yushi Liang表示正計劃公開Edge瀏覽器的零日漏洞。該漏洞能夠執行遠端程式碼,並能從Edge的沙盒中逃脫。Liang在一則推文中演示了利用該漏洞從網頁端開啟桌面的計算器應用,推文中寫道:“我們剛剛攻破Edge,和kochkov合作找到了這個穩定漏洞,支援自身SBX即將到

每日安全資訊黑客找到Steam免費玩遊戲bug,V社獎勵2萬美元

最近一名自稱是“bug獵人”的技術大神(黑客)Artem Moskowsky在Steam上發現了一個漏洞,這個漏洞允許他為Steam上的任何遊戲免費產生數千個cdkey。換做普通人,一般都會留著給自己偷偷用,但Moskowsky選擇了上報給V社,為此V社獎勵了他2萬美元。 據

FAQ問題記錄 File "/webpage/a/mds/mdsquota/mdsQuotaDetail/template.jsp" not found

 在開發ERP系統下載模板問題時,控制檯報錯如下:      File "/webpage/a/mds/mdsquota/mdsQuotaDetail/template.jsp" not found &nb

軟體安全設計安全開發生命週期(SDL)

安全開發生命週期(SDL)是一個幫助開發人員構建更安全的軟體和解決安全合規要求的同時降低開發成本的軟體開發過程。 安全應用從安全設計開始,軟體的安全問題很大一部分是由於不安全的設計而引入的,微軟用多年的經驗總結出了安全開發生命週期(SDL),並提出了攻擊面最小化、STRIDE

每日安全資訊Safari 測試對 HTTP 網站顯示不安全警告

在 Chrome 之後,Safari 開始測試對 HTTP 網站顯示不安全警告,當用戶訪問的網站

每日安全資訊谷歌詳解Google Play APK安全防護服務採用的機器學習技術

與生態較為封閉的蘋果 iOS 相比,谷歌為 Android 使用者提供了直接通過 APK 包來安

每日安全資訊WannaCry陰魂不散 仍然是最流行的勒索軟體

去年爆發的 WannaCry 勒索軟體攻擊利用了黑客洩漏的 NSA 漏洞利用程式碼 Eterna

安全課程雲平臺使用安全

課程介紹 阿里雲大學Apsara Clouder雲安全專項技能認證:雲平臺使用安全 您還在擔心阿里雲官網的帳號單憑密碼登入不夠安全?還在為服務代維時工程師的許可權過大而產生風險?或者您作為系統管理員還在尋求一個完美的系統監控方案?也可能因為購買了不同批次的雲資源導致續費工作

每日安全資訊Chrome 桌面版預設啟用網站隔離

Google 對 99% 的 Chrome 桌面版使用者悄悄啟用了網站隔離功能。網站隔離功能是在

每日安全資訊2018 年的安全市場,Gartner 怎麼看?

本文例舉Gartner預測的未來安全行業重要趨勢,希望對大家有所參考。網路安全評級重要性愈發凸顯

每日安全資訊新手上路 | 看我如何發現大疆公司網站的一個小漏洞

本文中,孟加拉國安全研究者Yeasir Arafat講述了他對大疆無人機公司的一次漏洞測試,其通

每日安全資訊專家警告網路安全形勢嚴峻:2018年度共計有10億網民資料遭外洩...

據Nord數字化資訊專家Daniel Markuson近期的一篇文章,2018年是網路安全情況相當糟糕的一年,全球大部分企業遭遇網路攻擊,數以億計的使用者資料記錄遭外洩曝光。據Markuson統計,2018年度網路攻擊導致的全球企業使用者資料外洩,影響了共計達10億網民,這些外洩資料都有潛在

每日安全資訊國家稅務總局:個人所得稅App存在62例木馬為誤傳

12月30日訊息,根據國家稅務總局官方微博的訊息,經過調查,稅務總局“個人所得稅”App存在 62 例木馬為誤傳。官方稱自稅務總局官方“個人所得稅”App上線以來,未發現存在木馬病毒問題。稅務總局一直以來高度重視“個人所得稅”App安全,將繼續採取各種手段加強安全監測和保護。