提交
1. 前言 谈到贴近红队攻防、渗透的场景,在国内最热门的工具就是xray了,近期也对xray进行了一些测试和分析,记录整合成一篇文章分享。 2. 安全能力实现分析 2.1 压缩包扫描 压缩文件的扫描,xray的实现有几个细节: 字典选择 包含了和域名相关的字典,例如:扫描的目标为http://www.example.com,会自动提取出域名example,生成特定字典如exa...
1. 前言 介绍一下为什么会写这篇文章吧,主要是记录一些常见应用的默认页面截图和响应数据。 这些数据在攻防当中对信息收集是有一定帮助的,例如: 常见的WAF拦截页面特征,识别后,在自动化的工具中,我们可以设置自动屏蔽这些url,不用人工再做分析。 常见的中间件启动特征,这类的可能是刚部署的系统,也可能是将资产藏到了二级目录下,可以做一些定制扫描分析,如启动dirscan对其做...
1. 前言 马上就要护网了,随着护网来临前,也有密密麻麻的一系列「提前攻防演练」、「内部自检加固」的工作到来。 那么这篇文章主要就是“傻瓜化”的教大家怎么减少被钓鱼的概率,避免成为这些演练中的“牺牲品”😄 2. 钓鱼木马防护步骤 💡 通常攻击者会以各种名义去让受害者下载一个文件,例如:一封“十分紧急”的邮件里参杂附件,或者是在线资讯平台上的”问题反馈附件“。 这些附件可能直接...
4.常见应用默认页面记录
5.Xray分析
发现新版本的内容。