Information Gathering

2025年，钓鱼攻击仍是企业面临的主要安全威胁。随着攻击者更多采用基于身份认证的技术而非软件漏洞利用，钓鱼攻击的危害性甚至超过以往。

前期信息搜集

主机发现

介绍

伏魔挑战赛是阿里云举办的webshell和恶意脚本免杀比赛，选手需要编写webshell或反弹shell脚本等恶意脚本，绕过伏魔引擎的查杀。每一个不重复的样本都可以获得几百至一千的奖金。规则文档在这里。

上一年因为身

研究人员发现主流浏览器加密货币钱包存在重大安全漏洞，攻击者无需用户任何交互或授权即可窃取资金。

在Stellar Fr

钓鱼攻击威胁持续升级

2025年，钓鱼攻击仍是企业面临的重大安全挑战。随着攻击者越来越多地采用基于身份验证

一、APISandbox靶场说明

https://github.com/API-Security/APISandbox

是一个包含多个场景的API漏洞靶场

目前有以下几个API漏洞场景靶场：

4ASystem: 4A认证系统下的API平行越权

APIVuln: 生产消费流水线中的API缓存投毒

G

高度复杂的钓鱼攻击手法

安全研究人员发现一种"极其复杂的网络钓鱼攻击"，威胁行为者通过非常规手

网络安全专家发现了一种利用SVG（可缩放矢量图形）文件格式的新型钓鱼技术，攻击者通过该技术向不知情的受害者投递恶意HTML内容。

一、核心场景：破解 AES 加密通信的关键需求

Information Gathering

$

一、漏洞原理

Fastjson反序列化漏洞的核心问题在于：当反序列化过程中自动加载了恶意类（通过@type指定）时，可能触发任意代码执行。关键点：

1. AutoType机制：Fastjson通过@type标识类名，

环境搭建

mysql8.0

java1.8

maven3.9

采用IDEA搭建

一、JNDI 注入的原理

1. 核心逻辑：

   • JNDI 是 Java 提供的统一资源访问接口，支持通过名称（如ldap://example.com/obj）动态加载远程对象。

   • 当攻击者能控制 JND

Devvortex

1、先用nmap扫一下

2、直接访问一下网页，发现unknown host，加入hosts

越权漏洞简介

越权，从字面意思理解，指的是超出了既定的权限或权力范围。在大多数的 WEB 应用程序中，都设置了权限划分与控制机制。然而，一旦权限控制功能在设计上存在缺陷，攻击者便有机可乘，他们能够利用这些漏洞，访问原本未经授权的功能或数据，这便是我们常说的越权漏洞。

当攻击者成功越权后，往往可以实施一系列操作，比如查看敏感信息，或者进行数据的增

1、使用nmap简单扫描一下目标ip，开启了80端口，访问一下试试

2、发现有个登录的地方，使用sqlmap尝试一下sql注入

Information Gathering

$

Information Gathering