记录一次网络安全国赛的参赛经历与深度复盘。本文分享了获得二等奖的比赛体验,详细分析了Web渗透、逆向工程、可信计算等多个安全领域的题目解法。包含jeecg-boot RCE利用、Go语言条件竞争漏洞、Spring路径遍历、H2数据库攻击等实战技术,以及内网渗透和Windows域控环境的思考。
红队中一种被忽视的攻击方式-中间人攻击
发表于
分类于
渗透
本文深入探讨了中间人攻击(MITM)在内网渗透场景中的实际应用,揭示了自签证书广泛存在于企业内网中的安全隐患。通过以mitmproxy为例,详细展示如何在特定环境下部署中间人监听,实现对敏感流量的窃听与分析,为红队行动提供了低噪声、高回报的攻击思路,并结合实战案例提供完整技术实现流程。
红队/APT视角的vcenter的一些利用和权限留存的想法
这篇博客从红队与APT攻击者的视角,详细介绍了如何在渗透测试中针对 VMware vCenter 进行利用与权限留存。作者分析了多个历史CVE(如CVE-2021-21972、22005、22948等)的利用价值及提权方法,说明了如何通过Webshell、SSH、数据库提权等手段获取 root 权限。此外,为实现对目标系统长期控制,作者还探讨了利用 Python 登录模块植入本地后门、部署隐蔽的webshell、以及通过数据库解密实现凭证复用等方式进行权限持久化。
2025长城杯半决赛笑传之Check Check Backdoor
2025长城杯半决赛 应急响应题 的一些反思和复现
Hello Word
发表于
更新于
博客从2024/09一直拖到现在,我真是个神人
Quick Start
Create a new post
1 | |
More info: Writing
Run server
1 | |
More info: Server
Generate static files
1 | |
More info: Generating
Deploy to remote sites
1 | |
More info: Deployment