在没有mimikatz的情况下操控用户密码,虽然Mimikatz是最好的攻击工具之一,但我会尽量避免使用它,因为它是反病毒和 EDR 工具的高度目标,你有他们的 NT 哈希,但没有他们的明文密码。将他们的密码更改为已知的明文值可以让您访问不能选择 Pass-the-Hash 的服务
Read more
作者: 雨苁
别认输,因为没人希望你赢
Gitlab侦察介绍 Gitlab渗透测试思路
Gitlab侦察介绍 Gitlab渗透测试思路,让我们假设一个人可以访问 Gitlab 令牌作为前体。让我们通过一些有趣的命令和脚本片段来了解更多信息。在后渗透很有用的侦察命令,找到一个 Gitlab 令牌 – 接下来怎么办?
Read more
burp插件之Padding Oracle Hunter
burp插件之Padding Oracle Hunter,Padding Oracle Hunter 是一个 Burp Suite 扩展,可帮助渗透测试人员快速识别和利用 PKCS#7 和 PKCS#1 v1.5 填充 oracle 漏洞。
Read more
AutoWarp:Microsoft Azure自动化服务中的严重跨账户漏洞
AutoWarp:Microsoft Azure自动化服务中的严重跨账户漏洞,AutoWarp 是 Azure 自动化服务中的一个严重漏洞,允许未经授权访问使用该服务的其他 Azure 客户帐户。这种攻击可能意味着完全控制属于目标帐户的资源和数据,具体取决于客户分配的权限
Read more
黑客使用特斯拉虚假订单进行钓鱼攻击
黑客使用特斯拉虚假订单进行钓鱼攻击,order001.ppam,这是 Microsoft PowerPoint 使用的一种插件文件格式,在这种情况下,它包含一个恶意宏,充当 Agent Tesla 的释放器,该活动的独特之处在于使用了 PPAM
Read more