红方如何突破

1.广域资产收集

广域这个概念,可以涵盖以下几个雄度:

  • a 、子域名、同 IP 域名、同 IP 段、域名备案信息
  • b 、微信公众号、微信小程序
  • c 、 shadon 、 fofa 、 zoomeye 等资产收集引擎
  • d 、 github 信息泄露、百度网盘信息泄露
  • e 、供应链、上下级公司的广域资产

2.常见突破外网手段

  • a 、struts 、 WeblogiCx shiro 等中间件漏洞 getshell
  • b、fasUson 等组件漏洞 getshell
  • C 、弱口令+后台漏洞 getshe "
  • d 、邮件系统弱口令与社工钓鱼
  • e 、注入、任意文件下载、中间件解析漏洞、代码/命令执行
  • f 、第三方获得源代码进行代码审计
  • g 、通用系统 Oday 通常集中在:0A系统、邮件系统等
  • h 、 VPN 弱口令与 Oday

蓝方如何应对

  • 1、详尽的资产梳理,发现外网资产,并对这些外网资产进行清理
  • 2、常见 RCE 漏洞专项检测
  • 3、常见 getshell 组件梳理与专项检测
  • 4、弱口令清理与口令猜解的封堵
  • 5、安全意识培训与钓鱼邮件演练
  • 6、邮件网关部署防病毒引擎、 APT 检测设备
  • 7、将邮件服务器 Web 登录界面移至内网,外网仅开放pop3、 smtp 端口
  • 8、保证外采系统升级至最新版
  • 9、确保安全防护设备策略开启并开启封堵策略
  • 10、企业网络白名单梳理与内部网络隔离

个人思路整理

初步学习的过程上,是不分红蓝方的

  • 学习如何进行有效的信息搜集,red 可做攻击准本,blue可作为防守检测措施
  • 学会对邮件等系统进行弱口令检测(爆破)
  • 中间件有哪些以及简单中间件能getshell
  • 如何拿下无防护措施的vpn

红蓝对抗,学习整理 -------雷神众测相关推荐

  1. 雷神众测开启团队竞赛模式

    雷神平台成立至今已有4个月了,雷神(可信)众测也已顺利进行到第8期,在这8期中雷神平台测试的范围涵盖了银行.金融.互联网金融.保险.安全厂商等行业,积累了一定的经验. 团队竞赛模式: 雷神众测决定从第 ...

  2. 红蓝对抗场景下的二三事

    背景 未知攻焉知防,警察想要抓小偷,就该先摸透小偷的想法,才能更快捷的抓到小偷毕竟小偷抓小偷更容易.网络安全的攻与防,好比"矛"与"盾",要想不被"矛 ...

  3. 红蓝对抗-红蓝对抗经验总结

    红蓝对抗经验总结 文章目录 红蓝对抗经验总结 前言 红蓝对抗思路 公司敏感信息网上收集 资产梳理 只给出了公司名字 查找该公司有关的所有主域名 收集所有主域名的所有子域名 通过IP查找该公司的网段 给 ...

  4. 解读ChatGPT背后的技术重点:RLHF、IFT、CoT、红蓝对抗

    近段时间,ChatGPT 横空出世并获得巨大成功,使得 RLHF.SFT.IFT.CoT 等这些晦涩的缩写开始出现在普罗大众的讨论中.这些晦涩的首字母缩略词究竟是什么意思?为什么它们如此重要?我们调查 ...

  5. 解读 ChatGPT 背后的技术重点:RLHF、IFT、CoT、红蓝对抗

    来自:Hugging Face 近段时间,ChatGPT 横空出世并获得巨大成功,使得 RLHF.SFT.IFT.CoT 等这些晦涩的缩写开始出现在普罗大众的讨论中.这些晦涩的首字母缩略词究竟是什么意 ...

  6. 红蓝对抗中的近源渗透

    前言 近源渗透是这两年常被安全业内人员谈起的热门话题.不同于其他虚无缥缈的安全概念,近源渗透涉及到的无线安全.物理安全.社会工程学都十分容易落地实践,许多企业内部的攻防对抗演练也都出现了看上去&quo ...

  7. 红蓝对抗-红队打点的那些事

    红蓝对抗-红队打点的那些事 攻防演练中作为攻击方,效率很重要,例如2019 BCS红队行动议题: RedTeam-BCS 半自动化的资产收集 域名/IP/需要交互的系统 当拿到目标的时候,首先需要利用 ...

  8. 终于有人把红蓝对抗讲明白了

    导读:什么是红蓝对抗? 我们现在所处的时代,有人称为网络时代,有人称为信息时代,也有人称为数据时代,不管名字怎么叫吧,我想有一件事已经成为了共识,那就是我们的安全观念得要跟上时代发展. 都知道重要的东 ...

  9. WIPS产品到底能不能堵上最强Wi-Fi 漏洞?这里有一场精彩的红蓝对抗

    近日,有安全研究员披露 WPA2 协议层中存在逻辑缺陷,几乎所有支持 Wi-Fi 的设备都面临威胁,其传输的数据存在被嗅探.篡改的风险.攻击者可获取 Wi-Fi 网络中的数据信息,如信用卡.邮件.账号 ...

最新文章

  1. 双向链表的插入和删除算法描述
  2. oracle dump函数
  3. insert在python中的用法_python中insert用法是什么_后端开发
  4. UOJ #590. 天天和树
  5. 总结一下安装linux系统经验-版本选择-安装ubuntu
  6. Java实现多线程的四种实现方式
  7. 让你的网站首页自动选择语言转跳
  8. 利用GSM模块通过GPRS在GMSK调制方式下与IP网通信
  9. Windows系统安装运行库
  10. 若依框架使用笔记(一)
  11. Apache 绿色版本官方版本下载
  12. tensorflow2.0自制神经网络数据集及预测结果(混淆矩阵)可视化
  13. 邮箱服务器 拦截策略,企业邮箱服务器的安全管理策略
  14. Sublime Text 3 使用心得
  15. OpenCasCade 教程-瓶子 (1)
  16. tex 表格内容换行_{Latex}{Tabular}文本超出表格自动换行
  17. swift学习二:基本的语法
  18. Android USB HID整理
  19. 那些你可能不知道的搜索奇技淫巧
  20. 教育科研先进个人发言稿

热门文章

  1. PDF文件打印不清楚怎么办?
  2. 收集欢太积分可参与丰富的用户活动,还有丰厚的福利可以领取~
  3. 数据中台架构与技术选型
  4. 关于研究鼠标绘制平滑曲线的阶段总结
  5. 用Excel生成频率分布表及频率分布直方图
  6. 【技能教学】如何通过FFMPEG编码推RTSP视频直播流到EasyDarwin开源平台时叠加时间水印?
  7. Android自定义View之图形图像(模仿360的刷新球自定义一个SeekBar)
  8. 逻辑门电路 逻辑运算
  9. 肾有多好,就有多年轻
  10. 给微信新增的群接龙功能加一个AI, 增长黑客必备技能