0x00软文目录 目录 前提 分析 email蜜罐 tomcat蜜罐 HSE蜜罐 epaper蜜罐 网络 ID 结果 附件 ?...0x01蜜罐介绍 前提 在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。 ?...email蜜罐 据悉,首先进行信息探测踩点对email蜜罐,攻击源的IP为43.250.200.16【湖南省 联通】,去尝试访问80端口建立tcp的连接。 ?...tomcat蜜罐 对tomcat蜜罐也进行了探测建立了tcp的连接,攻击源IP为175.0.52.248 【湖南省长沙市 电信】 ?...epaper蜜罐 对epaper蜜罐进行了515次的攻击,尝试弱口令登录,地址 43.250.200.16 【湖南省 联通】 ? 进行目录穿越攻击 ? 暴力破解 ?
TABULAR filename = "D:/temp/Client.txt" get_data(filename, client, addr) client.close() 蜜罐识别...有些协议实现不完善的蜜罐,会把任意输入的用户名以及密码当成正确的; 许多蜜罐为了读取客户端的任意文件来识别攻击者的身份,会把客户端第一条执行的命令作为读取客户端文件的数据包返回; 登陆成功后通过SQL...IP,总连接次数 SELECT host,total_connections FROM sys.host_summary 参考文章 Read MySQL Client's File 溯源反制之MySQL蜜罐研究...MySQL蜜罐获取攻击者微信ID 浅谈Mysql蜜罐识别 我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan
应用场景 蜜罐是网络攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。同样,攻击方也可以通过蜜罐识别技术来发现和规避蜜罐,减少被防守方溯源。...蜜罐环境能否迷惑攻击者一定程度上取决于搭建环境是否仿真,简单的环境容易被攻击者识破。现如今,弱口令依然是导致网络安全事件的主要因素,有时候一个弱口令可能导致企业被攻击者从外网打到内网。...mysql蜜罐通过搭建一个简单的mysql服务,如果攻击者对目标客户进行3306端口爆破,并且用navicat等工具连接蜜罐服务器,就可能被防守方读取本地文件,包括微信配置文件和谷歌历史记录等等,这样很容易被防守方溯源...如果出现secure-file-priv 选项为NULL则表示禁止导入导出,可修改mysql配置文件(Windows下为my.ini, Linux下的my.cnf),查看是否有:secure_file_priv
信息 参考连接 https://github.com/qigpig/MysqlHoneypot https://github.com/heikanet/MysqlHoneypot 溯源反制之MySQL蜜罐研究...MySQL蜜罐获取攻击者微信ID
蜜罐技术(Honeypot):是一种被侦听、被攻击或已经被入侵的资源。 是一种被侦听、被攻击或已经被入侵的资源。...Honeypots(蜜罐)系统即为此而生。 蜜罐系统好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。...设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。...设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。...另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者等!
蜜罐安装和部署实验步骤:安装和部署蜜罐:打开win7使用Xshell去连接蜜罐服务器,去上传web访问网页的软件包连接到蜜罐服务器之后,由于Xshell上传用命令执行上传会出现乱码,首先在win7上开启...界面启动firewall-cmd --add-port=4434/tcp --permanent #用于节点与管理端通信firewall-cmd --reloadtar -zxvf hfish-3.1.4-linux-amd64...,节点会自动创建9个蜜罐服务,都是常见的这些蜜罐服务伪装成了常见的服务端口添加蜜罐服务:选择添加蜜罐服务,再创建一些蜜罐服务,比如添加一个企业开发经常用的自动化发布平台Jenkins在蜜罐服务器上,放通蜜罐服务的端口...(伪造的Jenkins平台)然后再伪装的Jenkins平台输入账号admin密码admin,看看返回(是一个中交互蜜罐服务)查看蜜罐的账号密码捕获,上一步输入用户名和密码后,在左边选择【威胁实体】—>【...@#,可以把这个用户名和密码放到企业信息监控里面,当蜜罐捕获到同样的用户名、密码时,说明这个开发账号、密码泄露了,需要赶紧整改然后在蜜罐服务伪装的Jenkins平台,https://192.168.0.3
一、什么是蜜罐技术国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。...蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统。...相反的,低交互蜜罐只能模拟部分服务、端口、响应,入侵者不能通过攻击这些服务获得完全的访问权限。从实现方法上来分,蜜罐可分为物理蜜罐和虚拟蜜罐。...物理蜜罐是网络上一台真实的完整计算机,虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量。五、蜜罐防护过程图片蜜罐防护过程包括诱骗环境构建、入侵行为监控、后期处理措施3个阶段。...目前蜜罐研究多为工程部署,而较少涉及蜜罐基础理论。敌手与蜜罐对抗属于典型的博弈行为,可以将黄开枝、洪颖、罗文宇等人的博弈论应用至蜜罐中,通过博弈分析验证,为蜜罐提供理论支撑。
那么对于攻击的日渐频繁,蜜罐也应运而生: 从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。...这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。 ?...说道这里就不得不说一下蜜罐的类型了: 1、低交互蜜罐(简单): 低交互蜜罐最大的特点是模拟(设计简单且功能有限,安装配置和维护都很容易) 2、中交互蜜罐(中度): 中交互蜜罐是对真正的操作系统的各种行为的模拟...3、高交互蜜罐(困难): 高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系统。...那么我们在这里简单说了一下蜜罐的类型,接下来我们说一下我通过蜜罐捕获东西 ? 看到这里大家或许觉得没啥。那么请看下面一张图 ?
,网络蜜罐没有涉及到。...那么本篇文章和大家聊聊网络蜜罐。 ? 为什么要研究网络蜜罐?...A)服务型蜜罐伪装欺骗的毕竟是被动的,如果可以从网络层面对APT攻击行为做强制性诱导,而不是被动的等待黑客上钩,更能体现蜜罐安全价值。...光有服务型蜜罐有些单一,目前业界解决方案,有三个方向,模拟数据中心服务的蜜罐,基于沙箱技术的客户端的蜜罐,和网络型诱导蜜罐。...网络蜜罐的核心技术 诱导是蜜罐的核心价值所在,那么怎么才能把攻击者诱导进入到蜜罐网络呢?
一、Hfish蜜罐介绍 HFish蜜罐官网 HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、...可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。...HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性...二、安装部署 1.配置防火墙 请防火墙开启4433、4434,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。)
,其中管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击 主要特点 HFish当前具备如下几个特点: 安全可靠:主打低中交互蜜罐,简单有效 功能丰富:支持基本网络 服务、OA系统、...开放透明:支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业微信、飞书、自定义WebHook告警输出 快捷管理:支持单个安装包批量部署,支持批量修改端口和服务 跨平台:支持Linux...x32/x64/ARM、Windows x32/x64平台、国产操作系统、龙芯、海光、飞腾、鲲鹏、腾云、兆芯硬件 应用场景 内网失陷报警 外网情报生成 攻击溯源反制 内部人员风险 快速部署 Linux...蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听 https://192.168.17.132:4433/web/nodeList 可支持的蜜罐列表如下: https...攻击蜜罐 服务扫描 使用Nmap扫描蜜罐查看对应的服务信息: nmap 192.168.17.132 SSH蜜罐 使用Kali虚拟机尝试SSH远程登录Hfish蜜罐系统的主机 ssh root@
这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜罐。...现在各功能蜜罐这么多,虽然MHN简化了各蜜罐的部署过程,但还是需要手动安装多个系统sensor来实现多个不同蜜罐。在蜜罐的研究过程中,有没有一个提供能更简单方便的平台实现我们对蜜罐的研究与使用。...T-Pot16.10多蜜罐平台直接提供一个系统iso,里面使用docker技术实现多个蜜罐,更加方便的蜜罐研究与数据捕获。...Dionaea: Dionaea是运行于Linux上的一个应用程序,将程序运行于网络环境下,它开放Internet常见服务的默认端口,当有外来连接时,模拟正常服务给予反馈,同时记录下出入网络数据流。...Dionaea: Dionaea是运行于Linux上的一个应用程序,将程序运行于网络环境下,它开放Internet常见服务的默认端口,当有外来连接时,模拟正常服务给予反馈,同时记录下出入网络数据流。
部署蜜罐之后会生成描述发生的事件的日志记录。能够收集到的安全事件将取决于我们部署的蜜罐的类型,比如部署SSH蜜罐你将会收集到一些服务器安全相关的日志。...对于Linux系统,通常意味着加载一些隐藏的内核模块和新的crontab,而对于Windows系统,一般非法的更改会集中在注册表、系统文件和自动启动条目。...这个系统由两个独立的蜜罐阵列组成,入站数组由高交互蜜罐组成,允许妥协,而出站数组由低交互蜜罐组成。...如果受损的入站蜜罐尝试查找并感染其他受害者,则由蜜罐发起的所有传出流量将由网络转换器重定向到出站阵列。 如果其中一个出站蜜罐可以看到网络流量,那么肯定会出现入站蜜罐的被攻陷。...扩展这项工作,国外的安全研究员提出了双蜜罐系统来解决同时部署两个蜜罐的一些局限性。双蜜罐系统是仅由服务器高交互蜜罐组成的两个蜜罐的组合。
蜜罐的定义 蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。...蜜罐通过刻意构建安全漏洞来吸引攻击者。例如,蜜罐可能具有响应端口扫描或弱密码的端口。脆弱的端口可能保持开放,以诱使攻击者进入蜜罐环境而不是更安全的实时网络。...这样,蜜罐可以帮助优化和改进其他网络安全系统。) 蜜罐的优点和缺点 蜜罐可以提供有关威胁如何进化的可靠情报。...蜜罐的危险 虽然蜜罐网络安全技术将有助于绘制威胁环境图,但蜜罐不会看到所有正在发生的事情,而只能看到针对蜜罐的活动。...由于蜜罐可以用作进一步入侵的踏板,因此请确保所有蜜罐都得到良好保护。“蜜墙”可以提供基本的蜜罐安全性,并阻止针对蜜罐的攻击进入您的实时系统。 总体而言,使用蜜罐的好处远大于风险。
github.com/p1r06u3/opencanary_web 实验环境: #虚拟机-1-Web [root@localhost ~]# cat /etc/redhat-release CentOS Linux...255.255.255.0 broadcast 10.0.10.255 #虚拟机-2-Agent [root@localhost ~]# cat /etc/redhat-release CentOS Linux...kippo 更改的中交互蜜罐-Cowrie 是一个具有中等交互的 SSH 蜜罐,安装在 Linux 中,它可以获取攻击者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。...Distributor ID: Debian Description: Debian GNU/Linux 9.0 (stretch) Release: 9.0 Codename:...项目地址: https://github.com/dtag-dev-sec/tpotce 安装部署: 下载镜像,虚拟机安装,安装过程和常规的 Linux 安装差不多,需要选择 t-pot 安装类型及设置账户及密码
蜜罐的定义 蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。...,这其实就是一个蜜罐模型了。...蜜罐应用 蜜罐的概念很简单,但是应用到各方面十分复杂,最新的一些技术有wifi蜜罐、xxx业务蜜罐。...也确实,形成这种局面的主要原因是因为蜜罐的开发和应用是存在一些矛盾的,即使蜜罐高度可自定义服务及漏洞类型等,但定下后很难更改,且就监测来说,态势感知、waf等绝对是优先于蜜罐的,同时也不是所有安全设备支持联动...蜜罐虽然是模拟漏洞,但蜜罐本身不可能保证得了自己完全无漏洞可被利用,就比如去年hvv爆出的某安蜜罐逃逸,虽然不知道实锤了没,up没有关注后续(某安因为up没有证书没给面试,好气好气),说明蜜罐并不是绝对安全的产品
下载文件 https://github.com/decoymini/DecoyMini/releases 上传到Linux机器中,添加执行权限 chmod +x DecoyMini_Linux_x64.../DecoyMini_Linux_x64_v2.0.5266.pkg -install 安装后会提示输入IP,配置http或者https访问,最后设置端口即可访问 默认密码:Admin@123 账号:admin
学习蜜罐之间先介绍两个概念,低交互式蜜罐和高交互式蜜罐。 低交互式蜜罐 低交互式蜜罐只是模拟出了真正操作系统的一部分,例如模拟一个FTP服务。...虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻击,从而使蜜罐在这种情况下失效。 高交互式蜜罐 高交互式蜜罐是一部装有真正操作系统,并可完全被攻破的系统。...数据收集是设置蜜罐的技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。...至此一个简单的蜜罐系统就完成了。...总结 本文主要简单介绍了一下一个蜜罐的搭建与测试,在企业安全防护中,蜜罐系统对于检测攻击者的攻击非常有效,一旦攻击者误入蜜罐,我们就可以第一时间得知消息,然后及时进行应急响应,尽量在最短的时间内将攻击者踢出大门之外
这一点比较重要,本文将对mysql蜜罐来做一个学习,其实在早些时候,ling师傅已经发过一篇mysql蜜罐反制的文章了: https://cloud.tencent.com/developer/article...网上有很多文章分析,mysql蜜罐反制是可以读取到本地的任意文件的,比如:微信id、Chrome历史记录等。...Navicat反制 5.1 反制条件准备 环境准备: Navicat12试用版 攻击机:linux 靶机:Windows server 2012、Windows10 所需要的条件:正常安装版本的Navicat...在这里直接点击连接测试: 此时看下蜜罐: 看下log文件,此时获得用户名。...使用Navicat的免安装版本(注意版权问题,支持正版) 当然,现在还有一些问题,因为时间的问题,我没有细细学习,比如对于linux下的mysql命令行是否能够进行反制?
Beeswarm是一个主动蜜罐系统,通过部署一些模拟真实用户的节点与蜜罐系统通信,从而引诱窃听了这些会话的攻击者攻击蜜罐系统,以捕获发现攻击。...一、介绍 蜜罐系统一般不会主动产生流量,而是被动的等待攻击流量。...Beeswarm则是一款主动诱骗攻击者的蜜罐,可以模拟客户端与服务器的通信(诱饵通信),诱骗黑客攻击蜜罐,以对付企图通过网络监听获取敏感信息的攻击者。...图 6 待配置的Drone 选择蓝色的按钮进入模式选择页面,有蜜罐和客户端两种类型,先选择蜜罐类型: ? 图 7 Drone类型选择 选择之后进入蜜罐节点配置页面,需要选择开启哪些服务; ?...图 8 蜜罐开启的服务选择 配置完成后蜜罐主机开始监听端口; ? 图 9 蜜罐主机监听端口 在第三台虚拟机上重复上述步骤,但是在图7的模式选择中选Client;Client模式配置页面如图10; ?
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
