信息化时代,网络安全变得尤为重要。信息安全是国家安全的组成部分。随着《中华人民共和国网络安全法》的颁布实施,安全领域受到越来越多的重视

整体而言,针对安全事件的攻防演练始于2016年,主要以互联网入口和网络边界为主;2018年,甲方值守响应能力大幅度加强,攻击主要转型为身份仿冒,供应链攻击,加密隧道等;2021-2022年,我们发现,在对政企的攻防演练中,攻击方更多选择木马钓鱼等方式,甚至物理近源渗透,力求最快绕过防护壁垒,尽快进入内网

与此同时,文件捆马,社工钓鱼已然成为渗透攻击的优化答案。本次研究性学习内容,就是利用木马文件实现对windows10主机的控制并查看其权限信息。

攻击机:kali 192.168.1.12

靶机:win10  192.168.1.6

首先我们进入kali系统的root权限,并在msf框架下使用命令生成木马文件shell.exe,其中lhost为攻击机地址,端口设为5555。由于是实验环境,我在关闭了靶机的火绒后未对木马进行免杀处理。

我们看到,桌面上已经出现了该木马文件。

接下来我们运行进入msf开始部署操作

开启监听,设置攻击载荷

选择漏洞利用模块

设定攻击ip并监听端口,保持和生成的木马一致

exploit发起攻击

将木马压缩一下,传递到靶机中去并运行。这一步就是模拟从不明来源的地方传来的文件被随意执行。所以我们平时一定要到官方站点去下载应用,不要轻信别人发过来的文件,真实环境下木马会和软件等捆绑,名字也会很诱人,不可能像实验时这么直白,大家一定要擦亮眼睛。

我这里靶机运行后,即可以监听到木马上线。

下面就可以操作受害靶机了

先查看一下当前用户

查下进程

查看系统信息

shell命令获取权限,并查看“我是谁”

靶机已被拿下,本次渗透攻击到此结束。

扶摇|安全

注:本文并非搬运 为个人微信公众号内容

扶摇安全实验室|研究性学习渗透测试报告相关推荐

  1. 一份标准的渗透测试报告是什么样的?(附报告模板)

    一个完整的渗透测试工作流程中,实际有近一半时间都用在如何编写报告上,渗透测试工程师的工作,不仅需要具备高超的渗透测试水平,同样也需要把一个深奥的技术点解释的通俗易懂,即使是完全不懂安全的人也可以理解. ...

  2. Android 渗透测试学习手册 第九章 编写渗透测试报告

    第九章 编写渗透测试报告 作者:Aditya Gupta 译者:飞龙 协议:CC BY-NC-SA 4.0 在本章中,我们将学习渗透测试的最终和最重要的方面,撰写报告. 这是一个简短的章节,指导你在报 ...

  3. Savior:渗透测试报告自动生成工具

    系统框架 前端:Ant Design Pro 后端:Django REST Framework 数据库:Mysql 主要功能 用户管理:主要是方便统计漏洞的发现者,后续可能大概也许会添加漏洞统计模块, ...

  4. 信息安全学习----渗透测试知识点

    信息安全学习----渗透测试知识点 信息收集 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮 ...

  5. Deep Learning Hangzhou Meetup--华为2012实验室深度学习国际群 联合举办

    深度学习简介: 相比于传统的机器学习方法,经过训练后的深度神经网络模型(DNN)不仅可以明显提高模型预测结果的准确性,还可以大幅度提高算法的设计效率,以及算法预测的准确性. 现在深度学习技术以及渗透到 ...

  6. 什么是渗透测试?如何学习渗透测试?

    渗透测试是网络安全体系中细分的就业方向之一,该岗位对实操经验.技术水平要求较高,必须通过专业的培训才可以满足企业用人需求.因此为了快速成为一名专业的渗透测试工程师,大部分人都会选择参加培训.那么什么是 ...

  7. 综评计算机相关课题,新高考改革背景下,为什么强基计划招生这么重视研究性学习?...

    原标题:新高考改革背景下,为什么强基计划招生这么重视研究性学习? 新一轮高考改革,国家正进一步健全分类考试.综合评价.多元录取的高校招生机制,逐步改变单纯以考试成绩评价录取学生的倾向,注重发掘&quo ...

  8. 如何写好一份渗透测试报告

    转载: 如何写好一份渗透测试报告? http://bbs.51testing.com/forum.php?mod=viewthread&tid=1175573&fromuid=1525 ...

  9. 渗透测试报告标准编写

    渗透测试报告封面样本 渗透测试报告甲乙概述 渗透测试报告标准流程   要素: 工具: 主体: 总结: 安全攻城狮的大救星 | Savio-渗透测试报告自动生成工具 - SecPulse.COM | 安 ...

最新文章

  1. linux selenium_爬虫界又出神器|一款比selenium更高效的利器
  2. MySqli操作数据库
  3. Cluster 注册表操作方法
  4. 独家专访 | 从跨国投行到开源社区,IBM Spark总工程师Nick Pentreath的传奇经历
  5. CCNA学习笔记大全
  6. HttpHandler应用之 防止图片盗链
  7. ajax post 表单和 json 字符串
  8. 前端技巧:如何使用nodejs实现举牌人表情包?
  9. std::bind 详解及参数解析
  10. python车辆识别硬件_Opencv python之车辆识别项目
  11. defconfig、 .config
  12. 计算机专业中最受热议的4个专业,2018考研后身价倍增的4个专业盘点
  13. 会议管理SaaS平台Social Tables融资1300万美元
  14. 软件项目需求调研报告模板下载_软件项目需求分析报告模板
  15. Android音视频——Libyuv使用实战
  16. 人工智能-深度学习-手写数字识别
  17. Acer 常见笔记本产品内存扩展对照表
  18. 交换机组合超级计算机,图解:世界上最快的超级计算机Roadrunner
  19. vtp协议服务器配置,VTP协议
  20. 知道如何防止域名被封,干货!赶紧收藏

热门文章

  1. M1的Xcode运行旧项目报“building for iOS Simulator, but linking in object file built for iOS, for architectur
  2. TF-IDF文本表示方法与词云图
  3. 验证码工具之Kaptcha
  4. Roslyn 编译C#代码
  5. 第十四届蓝桥杯三月真题刷题训练——第 11 天
  6. 掌握这个学习方法,让3d建模 不再从入门到放弃
  7. S7-PLCSIM Advanced V3.0下载仿真失败
  8. Vue 点击按钮跳转其他链接
  9. matlab贝叶斯回归,matlab使用贝叶斯优化的深度学习
  10. Docker启动异常之服务器非法重启,导致Docker启动失败