网络钓鱼演练:Gophish 钓鱼二维码制作
Gophish 钓鱼模拟平台,默认不支持二维码钓鱼,通过修改官方版本源码增加二维码功能。
网络钓鱼演练:Gophish 钓鱼网页制作
GSingleFile是一款浏览器插件,可以将站点完整的页面保存到一个 HTML 文件中,非常适配 Gophish 平台做钓鱼网页。
网络钓鱼演练:常见钓鱼邮件案例
钓鱼邮件通常包含虚假信息,旨在诱骗收件人提供敏感信息,如密码、银行账户或信用卡信息。钓鱼邮件中的图片可能被用来增强邮件的可信度,或者作为诱骗手段的一部分。
网络钓鱼演练:EwoMail 邮件服务器搭建及使用教程
EwoMail 是基于 Linux 的开源邮件服务器软件,集成了众多优秀稳定的组件,是一个快速部署、简单高效、多语言、安全稳定的邮件解决方案,帮助你提升运维效率,降低 IT 成本,兼容主流的邮件客户端,同时支持电脑和手机邮件客户端。
网络钓鱼演练:Gophish 钓鱼平台搭建及使用教程
Gophish 是一个开源的钓鱼模拟平台,主要用于测试和评估组织的安全意识。它可以帮助安全团队模拟真实的钓鱼攻击,以识别潜在的漏洞并提高员工的安全意识。
交互式Shell管理工具 Platypus
Platypus 是一款支持多会话的交互式反向 Shell 管理器。在实际的渗透测试中,为了解决 Netcat/Socat 等工具在文件传输、多会话管理方面的不足。该工具在多会话管理的基础上增加了在渗透测试中更加有用的功能(如:交互式 Shell、文件操作、隧道等),可以更方便灵活地对反向 Shell 会话进行管理。
Spring Cloud Gateway远程代码执行漏洞(CVE-2022-22947)
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。当启用或暴露不安全的 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序容易受到代码注入攻击,远程攻击者可以通过发送恶意请求以执行 SpEL 表达式,从而在目标服务器上执行任意恶意代码,获取系统权限。
Alibaba Nacos 权限认证绕过漏洞复现(CVE-2021-29441)
Alibaba Nacos由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息。
Apache ActiveMQ任意文件写入漏洞(CVE-2016-3088)
ActiveMQ是Apache软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。fileserver是一个RESTful API接口,可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷。ActiveMQ在5.12.x~5.13.x版本中,已经默认关闭了fileserver这个应用(可以在conf/jetty.xml中开启);在5.14.0版本以后,彻底删除了fileserver应用。
GoTTY 未授权远程命令执行漏洞
GoTTY 是一个简单的基于 Go 语言的命令行工具,它可以将终端(TTY)作为 Web 程序共享。GoTTY 的架构是基于 Hterm + Web Socket 的,它能在 Web 浏览器上运行一个基于 Java 的终端,并支持通过 HTTP 和 HTTPS 访问。当 GoTTY 未正确配置身份验证启动时,任意用户可通过 GoTTY 程序的 Web 页面未授权远程命令执行。