- 综合排序
- 最热优先
- 最新优先
- 来自专栏Naraku的专栏
MySQL蜜罐
在交互过程第2步返回需要读取的文件路径,即Response TABULAR数据包部分内容如下: 13,文件名长度+1 00 00 01,数据包序号 fb,数据包类型 44 3a 2f 74 65 6d 70 2f 43 6c 69 65 6e 74 2e 74 78 74,文件名 13 00 00 01 fb 44 3a 2f 74 65 6d 70 2f 43 6c 69 65 6e 74 2e \x30\x2e\x31\x32\x00\x08\x00\x00\x00\x2a\x51\x47\x38\x48\x17\x12\x21\x00\xff\xff\xc0\x02\x00\xff\xc3\ 有些协议实现不完善的蜜罐,会把任意输入的用户名以及密码当成正确的; 许多蜜罐为了读取客户端的任意文件来识别攻击者的身份,会把客户端第一条执行的命令作为读取客户端文件的数据包返回; 登陆成功后通过SQL MySQL蜜罐获取攻击者微信ID 浅谈Mysql蜜罐识别 我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan
1.2K30发布于 2021-07-29 - 来自专栏Khan安全团队
蜜罐检测
核心功能功能模块技术实现URL去重输入文件哈希去重+结果文件增量校验智能限速令牌桶算法(支持动态时序调整)并发控制ThreadPoolExecutor线程池管理异常处理7大类错误分类统计(含QUIC协议错误) 蜜罐识别 无输入文件路径(UTF-8 编码) -t/--threads ❌ 10 个并发线程数(建议≤50) -r/--rate ❌无请求速率限制(请求数/秒) 输出文件文件名内容格式honeypot.txt 确认蜜罐
16600编辑于 2025-04-24 - 来自专栏安全小圈
蜜罐溯源
0x00软文目录 目录 前提 分析 email蜜罐 tomcat蜜罐 HSE蜜罐 epaper蜜罐 网络 ID 结果 附件 ? 0x01蜜罐介绍 前提 在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。 ? email蜜罐 据悉,首先进行信息探测踩点对email蜜罐,攻击源的IP为43.250.200.16【湖南省 联通】,去尝试访问80端口建立tcp的连接。 ? tomcat蜜罐 对tomcat蜜罐也进行了探测建立了tcp的连接,攻击源IP为175.0.52.248 【湖南省长沙市 电信】 ? epaper蜜罐 对epaper蜜罐进行了515次的攻击,尝试弱口令登录,地址 43.250.200.16 【湖南省 联通】 ? 进行目录穿越攻击 ? 暴力破解 ?
1.8K30发布于 2020-08-21 - 来自专栏giantbranch's blog
搭建mhn蜜罐管理系统并部署蜜罐
29911, uptime 0:18:41 mnemosyne RUNNING pid 28173, uptime 0:30:08 在另一机器部署蜜罐 非常简单 登录MHN server(就是上面我们配置好的机器,80端口就好) 点击 “Deploy” 选择一种蜜罐 (比如 “Ubuntu Dionaea”). 复制部署命令 登录到要部署的蜜罐服务器并用root用户运行 效果
37110编辑于 2024-12-31 - 来自专栏乌鸦安全
MYSQL蜜罐反制
应用场景 蜜罐是网络攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。同样,攻击方也可以通过蜜罐识别技术来发现和规避蜜罐,减少被防守方溯源。 mysql蜜罐通过搭建一个简单的mysql服务,如果攻击者对目标客户进行3306端口爆破,并且用navicat等工具连接蜜罐服务器,就可能被防守方读取本地文件,包括微信配置文件和谷歌历史记录等等,这样很容易被防守方溯源 数据包中内容如下 09 00 00 01 fb 44 3a 2f 31 2e 74 78 74 这里的09指的是从fb开始十六进制的数据包中文件名的长度,00 00 01指的是数据包的序号,fb是包的类型 ,44 3a 2f 31 2e 74 78 74指的是文件名。 \x30\x2e\x31\x32\x00\x08\x00\x00\x00\x2a\x51\x47\x38\x48\x17\x12\x21\x00\xff\xff\xc0\x02\x00\xff\xc3\
4K40发布于 2021-08-05 - 来自专栏网络安全攻防
Mysql蜜罐使用
AccInfo.dat 还有地址、微信号都有 项目实践 项目地址: https://github.com/Al1ex/MysqlHoneypot Step 1:攻击者外网扫描到资产,并进行暴力猜解 Step 2: 信息 参考连接 https://github.com/qigpig/MysqlHoneypot https://github.com/heikanet/MysqlHoneypot 溯源反制之MySQL蜜罐研究 MySQL蜜罐获取攻击者微信ID
83580编辑于 2022-05-07 - 来自专栏闪石星曜CyberSecurity
浅谈蜜罐机制
那么对于攻击的日渐频繁,蜜罐也应运而生: 从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。 这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。 ? 说道这里就不得不说一下蜜罐的类型了: 1、低交互蜜罐(简单): 低交互蜜罐最大的特点是模拟(设计简单且功能有限,安装配置和维护都很容易) 2、中交互蜜罐(中度): 中交互蜜罐是对真正的操作系统的各种行为的模拟 扩展性··思维·2:我们可以收集其他黑客的渗透手段,分析他们的流程,以及分析他们的所作所为,来更加全面的加固我们的服务器(比如多个蜜罐捕获多种服务)。 目前主要的三种沙盒逃逸技术: 1.沙盒检测:检测沙盒的存在(在检测过程中只显露出友好行为); 2.利用沙盒漏洞:利用沙盒技术或目标环境中存在的安全缺陷; 3.基于环境感知(Context-Aware
1.9K30发布于 2020-07-27 - 来自专栏技术篇
浅析蜜罐技术
一、什么是蜜罐技术国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。 蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统。 相反的,低交互蜜罐只能模拟部分服务、端口、响应,入侵者不能通过攻击这些服务获得完全的访问权限。从实现方法上来分,蜜罐可分为物理蜜罐和虚拟蜜罐。 (2)入侵行为监控:在攻击者入侵蜜罐系统后,可利用监视器、特定蜜罐、监控系统等对其交互行为进行监控记录,重点监控流量、端口、内存、接口、权限、漏洞、文件、文件夹等对象,避免攻击造成实际破坏,实现攻击可控性 目前蜜罐研究多为工程部署,而较少涉及蜜罐基础理论。敌手与蜜罐对抗属于典型的博弈行为,可以将黄开枝、洪颖、罗文宇等人的博弈论应用至蜜罐中,通过博弈分析验证,为蜜罐提供理论支撑。
1.3K30编辑于 2022-09-28 - 来自专栏程序生涯
HONEYPOT(蜜罐技术)
蜜罐技术(Honeypot):是一种被侦听、被攻击或已经被入侵的资源。 是一种被侦听、被攻击或已经被入侵的资源。 Honeypots(蜜罐)系统即为此而生。 蜜罐系统好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。 设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。 另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者等!
3.5K20发布于 2020-08-14 - 来自专栏应急响应
蜜罐安装和部署
蜜罐安装和部署实验步骤:安装和部署蜜罐:打开win7使用Xshell去连接蜜罐服务器,去上传web访问网页的软件包连接到蜜罐服务器之后,由于Xshell上传用命令执行上传会出现乱码,首先在win7上开启 ,节点会自动创建9个蜜罐服务,都是常见的这些蜜罐服务伪装成了常见的服务端口添加蜜罐服务:选择添加蜜罐服务,再创建一些蜜罐服务,比如添加一个企业开发经常用的自动化发布平台Jenkins在蜜罐服务器上,放通蜜罐服务的端口 (伪造的Jenkins平台)然后再伪装的Jenkins平台输入账号admin密码admin,看看返回(是一个中交互蜜罐服务)查看蜜罐的账号密码捕获,上一步输入用户名和密码后,在左边选择【威胁实体】—>【 @#,可以把这个用户名和密码放到企业信息监控里面,当蜜罐捕获到同样的用户名、密码时,说明这个开发账号、密码泄露了,需要赶紧整改然后在蜜罐服务伪装的Jenkins平台,https://192.168.0.3 远程登录到win7主机rdesktop 192.168.0.2 #远程登录2.攻击者登录到攻陷的win7主机通过扫描拿到了蜜饵配置文件config.txt3.攻击者直接在失陷主机打开Xshell,使用拿到的蜜饵配置文件
1.1K10编辑于 2024-08-14 - 来自专栏FreeBuf
T-Pot多蜜罐平台:让蜜罐实现更简单
这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜罐。 现在各功能蜜罐这么多,虽然MHN简化了各蜜罐的部署过程,但还是需要手动安装多个系统sensor来实现多个不同蜜罐。在蜜罐的研究过程中,有没有一个提供能更简单方便的平台实现我们对蜜罐的研究与使用。 2. 安装到联网的VM或者物理机上。安装过程跟普通安装Ubuntu 过程一样, 其中需要为tsec用户设置密码。 3. 1)T-Pot Installation (Cowrie, Dionaea, ElasticPot, Glastopf, Honeytrap, ELK, Suricata+P0f & Tools) 2) 克隆仓库并进入目录 git clone https://github.com/dtag-dev-sec/tpotce.git cd tpotce 2.
3.1K70发布于 2018-02-26 - 来自专栏FreeBuf
网络蜜罐技术探讨
,网络蜜罐没有涉及到。 那么本篇文章和大家聊聊网络蜜罐。 ? 为什么要研究网络蜜罐? 光有服务型蜜罐有些单一,目前业界解决方案,有三个方向,模拟数据中心服务的蜜罐,基于沙箱技术的客户端的蜜罐,和网络型诱导蜜罐。 网络蜜罐的核心技术 诱导是蜜罐的核心价值所在,那么怎么才能把攻击者诱导进入到蜜罐网络呢? 机器学习算法利用判别fast flux的僵尸网络 P2P Botnet 通过p2p协议 加密流量异常处理 TOR Botnet 通过tor 协议 加密流量异常处理 DPI网络安全设备与网络蜜罐欺骗技术技术对比
2.5K90发布于 2018-02-08 - 来自专栏高防
蜜罐的详细介绍
蜜罐的定义 蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。 蜜罐通过刻意构建安全漏洞来吸引攻击者。例如,蜜罐可能具有响应端口扫描或弱密码的端口。脆弱的端口可能保持开放,以诱使攻击者进入蜜罐环境而不是更安全的实时网络。 这样,蜜罐可以帮助优化和改进其他网络安全系统。) 蜜罐的优点和缺点 蜜罐可以提供有关威胁如何进化的可靠情报。 蜜罐的危险 虽然蜜罐网络安全技术将有助于绘制威胁环境图,但蜜罐不会看到所有正在发生的事情,而只能看到针对蜜罐的活动。 由于蜜罐可以用作进一步入侵的踏板,因此请确保所有蜜罐都得到良好保护。“蜜墙”可以提供基本的蜜罐安全性,并阻止针对蜜罐的攻击进入您的实时系统。 总体而言,使用蜜罐的好处远大于风险。
1.6K00编辑于 2022-05-29 - 来自专栏网络安全攻防
HFish蜜罐搭建使用
(用于web界面启动) firewall-cmd --add-port=4434/tcp --permanent #(用于节点与管理端通信) firewall-cmd --reload Step 2: admin 密码:HFish2021 Docker部署 此处我们还可以使用Docker来快速搭建部署一个HFish: Step 1:确认已安装并启动Docker docker version Step 2: https://ip:4433/web/ 初始用户名:admin 初始密码:HFish2021 控制面板如下所示: Windows平台 Step 1:下载安装包 https://hfish.io/#/2- 3-windows Step 2:解压 Step 3:关闭防火墙 Step 4:进入HFish-Windows-amd64文件夹内,运行文件目录下的install.bat Step 5:进行登录 蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听 https://192.168.17.132:4433/web/nodeList 可支持的蜜罐列表如下: https
3.4K41编辑于 2022-05-07 - 来自专栏建帅技术分享
Hfish安全蜜罐部署
一、Hfish蜜罐介绍 HFish蜜罐官网 HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、 可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。 二、安装部署 1.配置防火墙 请防火墙开启4433、4434,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。) permanent #(用于web界面启动) firewall-cmd --add-port=4434/tcp --permanent #(用于节点与管理端通信) firewall-cmd --reload 2. hfish.net/webinstall.sh) 3.安装完成 登陆链接:https://[ip]:4433/web/ 账号:admin 密码:HFish2021 三、登录hfish 1.登录界面 2.
1.1K50编辑于 2023-09-05 - 来自专栏信安之路
网络蜜罐的前世今生
1、蜜罐监控者需记录下进出系统的每个数据包; 2、蜜罐本身上面的日志文件也是很好的数据来源,但日志文件很容易被攻击者删除。 高交互蜜罐优点 它们大大减少了所要分析的数据。 Processing triggers for libc-bin (2.24-11) ... 2、创建用户帐户 root@VM-0-3-debian:~# useradd -r -m -s /bin/ cowrie-env Running virtualenv with interpreter /usr/bin/python2 New python executable in /home/cowrie /a80a70f71eb2b86992ffa5aaae41457791ae67faa70927fd16b76127c2b7/Twisted-19.2.0.tar.bz2 Collecting cryptography >=0.9.1 (from -r requirements.txt (line 2)) ......
2.9K40发布于 2019-04-25 - 来自专栏一己之见安全团队
安全设备篇——蜜罐
蜜罐的定义 蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。 ,这其实就是一个蜜罐模型了。 蜜罐应用 蜜罐的概念很简单,但是应用到各方面十分复杂,最新的一些技术有wifi蜜罐、xxx业务蜜罐。 也确实,形成这种局面的主要原因是因为蜜罐的开发和应用是存在一些矛盾的,即使蜜罐高度可自定义服务及漏洞类型等,但定下后很难更改,且就监测来说,态势感知、waf等绝对是优先于蜜罐的,同时也不是所有安全设备支持联动 蜜罐虽然是模拟漏洞,但蜜罐本身不可能保证得了自己完全无漏洞可被利用,就比如去年hvv爆出的某安蜜罐逃逸,虽然不知道实锤了没,up没有关注后续(某安因为up没有证书没给面试,好气好气),说明蜜罐并不是绝对安全的产品
80810编辑于 2024-06-27 - 来自专栏白安全组
可视化蜜罐安装
下载文件 https://github.com/decoymini/DecoyMini/releases 上传到Linux机器中,添加执行权限 chmod +x DecoyMini_Linux_x64_v2.0.5266.pkg 然后安装 ./DecoyMini_Linux_x64_v2.0.5266.pkg -install 安装后会提示输入IP,配置http或者https访问,最后设置端口即可访问 默认密码:Admin@123 账号:admin
38110编辑于 2023-02-25 - 来自专栏信安之路
基于docker的蜜罐学习
学习蜜罐之间先介绍两个概念,低交互式蜜罐和高交互式蜜罐。 低交互式蜜罐 低交互式蜜罐只是模拟出了真正操作系统的一部分,例如模拟一个FTP服务。 虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻击,从而使蜜罐在这种情况下失效。 高交互式蜜罐 高交互式蜜罐是一部装有真正操作系统,并可完全被攻破的系统。 数据收集是设置蜜罐的技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。 至此一个简单的蜜罐系统就完成了。 总结 本文主要简单介绍了一下一个蜜罐的搭建与测试,在企业安全防护中,蜜罐系统对于检测攻击者的攻击非常有效,一旦攻击者误入蜜罐,我们就可以第一时间得知消息,然后及时进行应急响应,尽量在最短的时间内将攻击者踢出大门之外
55000发布于 2018-08-08 - 来自专栏乌鸦安全
Mysql蜜罐反制cobalt strike
这一点比较重要,本文将对mysql蜜罐来做一个学习,其实在早些时候,ling师傅已经发过一篇mysql蜜罐反制的文章了: https://cloud.tencent.com/developer/article 网上有很多文章分析,mysql蜜罐反制是可以读取到本地的任意文件的,比如:微信id、Chrome历史记录等。 当然,在这个过程中,是人为的请求将本地的文件上传到远程服务器上的,具体流程可以见下图: 图片来源:溯源反制之MySQL蜜罐研究 4. 在这里直接点击连接测试: 此时看下蜜罐: 看下log文件,此时获得用户名。 防护方法 网上有很多这样的文章,下面这个师傅写的很详细了: 浅谈Mysql蜜罐识别 我认为最简单的方法: 1. 使用开源数据库,比如DBeaver 2.
1K10编辑于 2022-12-19
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号