swordheart的博客

境外组织通过邮箱投递给企业用户分享文档链接，诱导用户打开链接后，网页呈现出PDF、DOCX和XLS三份文档。当用户输入完账号密码，将发送至攻击者服务器，完成窃密。发现攻击者正在尝试登录窃取企业的outlook邮箱账号密码，且后端在不断发送钓鱼邮件。当用户点击“保持当前密码/点击登录”等按钮后，跳转至攻击者搭建的钓鱼网页。当用户打开附件后，要求微信扫描二维码，跳转到攻击者设计的钓鱼网页。当受害者用户输入账号密码后，发送至攻击者服务器，完成窃密过程。图：“财务补贴”钓鱼网站。

SQL语句：select * from admin where username = ' ' or 1=1 -- ' and password = '用户输入的密码'登录SQL语句：select * from admin where username = '用户输入的用户名' and password = '用户输入的密码'例如：在与用户交互的程序中，用户的输入拼接到SQL语句中，执行了与原定计划不同的行为，从而产生了SQL注入漏洞。例如：在与用户交互的程序中，用户的输入拼接到。

0x00 域名介绍域名（Domain Name），是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位。例如：学院域名：51cto.com对于edu.51cto.com 以及www.51cto.com是该域名对应的子域名，而edu和www都是对应的主机头。浏览网站过程：（从DNS服务器获得指定域名对应的IP地址），也称之为DNS解析 DNS解析过程涉及到递归查询和迭代查询递归查询---由主机和local dns服务器完成的交互查询迭代查询--

0x00 渗透测试流程（常规）前期交互阶段：沟通测试范围，时间，预期准备阶段：资产信息整理，漏洞发现与挖掘漏洞分析阶段：整理漏洞结果，汇总高可利用漏洞漏洞验证阶段：漏洞验证并截图保存后期报告阶段：报告编写，核对，汇报0x01 渗透测试流程（红队）前期交互阶段：沟通测试范围，时间，预期准备阶段：信息收集，情报整理，威胁建模边界突破阶段：漏洞发现，漏洞分析，漏洞利用横向扩展阶段：权限提升，横向渗透后渗透阶段：权限维持，痕迹清除后期报告阶段：报告编写，核对，汇报