- 综合排序
- 最热优先
- 最新优先
- 来自专栏Naraku的专栏
MySQL蜜罐
在交互过程第2步返回需要读取的文件路径,即Response TABULAR数据包部分内容如下: 13,文件名长度+1 00 00 01,数据包序号 fb,数据包类型 44 3a 2f 74 65 6d 70 2f 43 6c 69 65 6e 74 2e 74 78 74,文件名 13 00 00 01 fb 44 3a 2f 74 65 6d 70 2f 43 6c 69 65 6e 74 2e 有些协议实现不完善的蜜罐,会把任意输入的用户名以及密码当成正确的; 许多蜜罐为了读取客户端的任意文件来识别攻击者的身份,会把客户端第一条执行的命令作为读取客户端文件的数据包返回; 登陆成功后通过SQL MySQL蜜罐获取攻击者微信ID 浅谈Mysql蜜罐识别 我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan invite_code=3ee7gar9pm804 ----
1.2K30发布于 2021-07-29 - 来自专栏Khan安全团队
蜜罐检测
核心功能功能模块技术实现URL去重输入文件哈希去重+结果文件增量校验智能限速令牌桶算法(支持动态时序调整)并发控制ThreadPoolExecutor线程池管理异常处理7大类错误分类统计(含QUIC协议错误) 蜜罐识别 无输入文件路径(UTF-8 编码) -t/--threads ❌ 10 个并发线程数(建议≤50) -r/--rate ❌无请求速率限制(请求数/秒) 输出文件文件名内容格式honeypot.txt 确认蜜罐
16600编辑于 2025-04-24 - 来自专栏安全小圈
蜜罐溯源
0x00软文目录 目录 前提 分析 email蜜罐 tomcat蜜罐 HSE蜜罐 epaper蜜罐 网络 ID 结果 附件 ? 0x01蜜罐介绍 前提 在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。 ? 黑客先后攻击了蜜罐【email——Tomcat——HSE——epaper】,总攻击次数:1133次。 攻击时长——比如:3月1日 16:43:31——3月3日 17:26:58 ? 攻击链条: ? email蜜罐 据悉,首先进行信息探测踩点对email蜜罐,攻击源的IP为43.250.200.16【湖南省 联通】,去尝试访问80端口建立tcp的连接。 ? tomcat蜜罐 对tomcat蜜罐也进行了探测建立了tcp的连接,攻击源IP为175.0.52.248 【湖南省长沙市 电信】 ?
1.8K30发布于 2020-08-21 - 来自专栏giantbranch's blog
搭建mhn蜜罐管理系统并部署蜜罐
29911, uptime 0:18:41 mnemosyne RUNNING pid 28173, uptime 0:30:08 在另一机器部署蜜罐 非常简单 登录MHN server(就是上面我们配置好的机器,80端口就好) 点击 “Deploy” 选择一种蜜罐 (比如 “Ubuntu Dionaea”). 复制部署命令 登录到要部署的蜜罐服务器并用root用户运行 效果
37110编辑于 2024-12-31 - 来自专栏乌鸦安全
MYSQL蜜罐反制
应用场景 蜜罐是网络攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。同样,攻击方也可以通过蜜罐识别技术来发现和规避蜜罐,减少被防守方溯源。 蜜罐环境能否迷惑攻击者一定程度上取决于搭建环境是否仿真,简单的环境容易被攻击者识破。现如今,弱口令依然是导致网络安全事件的主要因素,有时候一个弱口令可能导致企业被攻击者从外网打到内网。 mysql蜜罐通过搭建一个简单的mysql服务,如果攻击者对目标客户进行3306端口爆破,并且用navicat等工具连接蜜罐服务器,就可能被防守方读取本地文件,包括微信配置文件和谷歌历史记录等等,这样很容易被防守方溯源 3. navicat演示 Load data infile 这个功能默认是关闭的,当我们没有开启这个功能时执行LOAD DATA INFILE会有报错。 ,44 3a 2f 31 2e 74 78 74指的是文件名。
4K40发布于 2021-08-05 - 来自专栏网络安全攻防
Mysql蜜罐使用
/MysqlHoneypot Step 1:攻击者外网扫描到资产,并进行暴力猜解 Step 2:攻击者本地PC安装微信的情况下首次直接读取PFRO.log和config.data文件 Step 3: 信息 参考连接 https://github.com/qigpig/MysqlHoneypot https://github.com/heikanet/MysqlHoneypot 溯源反制之MySQL蜜罐研究 MySQL蜜罐获取攻击者微信ID
83580编辑于 2022-05-07 - 来自专栏闪石星曜CyberSecurity
浅谈蜜罐机制
那么对于攻击的日渐频繁,蜜罐也应运而生: 从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。 这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。 ? 说道这里就不得不说一下蜜罐的类型了: 1、低交互蜜罐(简单): 低交互蜜罐最大的特点是模拟(设计简单且功能有限,安装配置和维护都很容易) 2、中交互蜜罐(中度): 中交互蜜罐是对真正的操作系统的各种行为的模拟 3、高交互蜜罐(困难): 高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系统。 目前主要的三种沙盒逃逸技术: 1.沙盒检测:检测沙盒的存在(在检测过程中只显露出友好行为); 2.利用沙盒漏洞:利用沙盒技术或目标环境中存在的安全缺陷; 3.基于环境感知(Context-Aware
1.9K30发布于 2020-07-27 - 来自专栏技术篇
浅析蜜罐技术
蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统。 相反的,低交互蜜罐只能模拟部分服务、端口、响应,入侵者不能通过攻击这些服务获得完全的访问权限。从实现方法上来分,蜜罐可分为物理蜜罐和虚拟蜜罐。 物理蜜罐是网络上一台真实的完整计算机,虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量。五、蜜罐防护过程图片蜜罐防护过程包括诱骗环境构建、入侵行为监控、后期处理措施3个阶段。 (3) 后期处理措施:监控攻击行为所获得数据,可用于数据可视化、流量分类、攻击分析、攻击识别、警报生成、攻击溯源、反向追踪等。 目前蜜罐研究多为工程部署,而较少涉及蜜罐基础理论。敌手与蜜罐对抗属于典型的博弈行为,可以将黄开枝、洪颖、罗文宇等人的博弈论应用至蜜罐中,通过博弈分析验证,为蜜罐提供理论支撑。
1.3K30编辑于 2022-09-28 - 来自专栏程序生涯
HONEYPOT(蜜罐技术)
蜜罐技术(Honeypot):是一种被侦听、被攻击或已经被入侵的资源。 是一种被侦听、被攻击或已经被入侵的资源。 Honeypots(蜜罐)系统即为此而生。 蜜罐系统好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。 设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。 另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者等!
3.5K20发布于 2020-08-14 - 来自专栏应急响应
蜜罐安装和部署
蜜罐安装和部署实验步骤:安装和部署蜜罐:打开win7使用Xshell去连接蜜罐服务器,去上传web访问网页的软件包连接到蜜罐服务器之后,由于Xshell上传用命令执行上传会出现乱码,首先在win7上开启 ,节点会自动创建9个蜜罐服务,都是常见的这些蜜罐服务伪装成了常见的服务端口添加蜜罐服务:选择添加蜜罐服务,再创建一些蜜罐服务,比如添加一个企业开发经常用的自动化发布平台Jenkins在蜜罐服务器上,放通蜜罐服务的端口 账号资产】,可以看到蜜罐捕获到的攻击者/访问者输入的用户名和密码信息设置企业账号密码监控,假设企业内有个开发,有个真实的Jenkins的平台,用户名是dever,密码为1qazcde3! :8080,输入账号dever,密码1qazcde3! 远程登录到win7主机rdesktop 192.168.0.2 #远程登录2.攻击者登录到攻陷的win7主机通过扫描拿到了蜜饵配置文件config.txt3.攻击者直接在失陷主机打开Xshell,使用拿到的蜜饵配置文件
1.1K10编辑于 2024-08-14 - 来自专栏爱国小白帽的原创专栏
HoneyDrive_3蜜罐系统的安装部署及使用指南
HoneyDrive是主要的蜜罐Linux发行版。 它是安装了Xubuntu Desktop 12.04.4 LTS版的虚拟设备(OVA)。 它包含10多个预安装和预配置的蜜罐软件包,例如Kippo SSH蜜罐,Dionaea和Amun恶意软件蜜罐,Honeyd低交互蜜罐,Glastopf Web蜜罐和Wordpot,Conpot SCADA / ICS蜜罐,Thug和PhoneyC honeyclients等。 sourceforge下载地址https://sourceforge.net/projects/honeydrive/ 嫌慢可以后台回复“HoneyDrive3”获取度盘链接 ? 浏览器中输入http://192.168.127.144/kippo-graph/进入蜜罐控制面板,刚开始没有任何数据 ? ?
1.9K30发布于 2021-02-04 - 来自专栏FreeBuf
T-Pot多蜜罐平台:让蜜罐实现更简单
这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜罐。 现在各功能蜜罐这么多,虽然MHN简化了各蜜罐的部署过程,但还是需要手动安装多个系统sensor来实现多个不同蜜罐。在蜜罐的研究过程中,有没有一个提供能更简单方便的平台实现我们对蜜罐的研究与使用。 T-Pot16.10多蜜罐平台直接提供一个系统iso,里面使用docker技术实现多个蜜罐,更加方便的蜜罐研究与数据捕获。 3. 正常安装系统后,第一次启动系统时将选择安装类型,此时将根据选择下载安装相应容器服务。 有4种安装类型,不同安装类型需要的满足要求不一样, 我们这里选典型T-Pot安装。 ELK, Suricata+P0f & Tools) 2)Sensor Installation (Cowrie, Dionaea, ElasticPot, Glastopf, Honeytrap) 3)
3.1K70发布于 2018-02-26 - 来自专栏FreeBuf
网络蜜罐技术探讨
,网络蜜罐没有涉及到。 那么本篇文章和大家聊聊网络蜜罐。 ? 为什么要研究网络蜜罐? A)服务型蜜罐伪装欺骗的毕竟是被动的,如果可以从网络层面对APT攻击行为做强制性诱导,而不是被动的等待黑客上钩,更能体现蜜罐安全价值。 光有服务型蜜罐有些单一,目前业界解决方案,有三个方向,模拟数据中心服务的蜜罐,基于沙箱技术的客户端的蜜罐,和网络型诱导蜜罐。 网络蜜罐的核心技术 诱导是蜜罐的核心价值所在,那么怎么才能把攻击者诱导进入到蜜罐网络呢?
2.5K90发布于 2018-02-08 - 来自专栏高防
蜜罐的详细介绍
蜜罐的定义 蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。 蜜罐通过刻意构建安全漏洞来吸引攻击者。例如,蜜罐可能具有响应端口扫描或弱密码的端口。脆弱的端口可能保持开放,以诱使攻击者进入蜜罐环境而不是更安全的实时网络。 这样,蜜罐可以帮助优化和改进其他网络安全系统。) 蜜罐的优点和缺点 蜜罐可以提供有关威胁如何进化的可靠情报。 蜜罐的危险 虽然蜜罐网络安全技术将有助于绘制威胁环境图,但蜜罐不会看到所有正在发生的事情,而只能看到针对蜜罐的活动。 由于蜜罐可以用作进一步入侵的踏板,因此请确保所有蜜罐都得到良好保护。“蜜墙”可以提供基本的蜜罐安全性,并阻止针对蜜罐的攻击进入您的实时系统。 总体而言,使用蜜罐的好处远大于风险。
1.6K00编辑于 2022-05-29 - 来自专栏网络安全攻防
HFish蜜罐搭建使用
firewall-cmd --reload Step 2:使用root用户运行下面的脚本(需要联网) bash <(curl -sS -L https://hfish.io/webinstall.sh) Step 3: /hfish:/usr/share/hfish \ --network host \ --privileged=true \ threatbook/hfish-server:latest Step 3: https://ip:4433/web/ 初始用户名:admin 初始密码:HFish2021 控制面板如下所示: Windows平台 Step 1:下载安装包 https://hfish.io/#/2-3- windows Step 2:解压 Step 3:关闭防火墙 Step 4:进入HFish-Windows-amd64文件夹内,运行文件目录下的install.bat Step 5:进行登录 192.168.17.132 (passwd:123456) 此时可以在Hfish后台管理系统的"上钓列表"中成功看到攻击信息 攻击来源: 执行的命令也会被记录: H3C蜜罐 https
3.4K41编辑于 2022-05-07 - 来自专栏建帅技术分享
Hfish安全蜜罐部署
一、Hfish蜜罐介绍 HFish蜜罐官网 HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、 可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。 二、安装部署 1.配置防火墙 请防火墙开启4433、4434,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。) #(用于节点与管理端通信) firewall-cmd --reload 2.执行安装脚本 bash <(curl -sS -L https://hfish.net/webinstall.sh) 3. 安装完成 登陆链接:https://[ip]:4433/web/ 账号:admin 密码:HFish2021 三、登录hfish 1.登录界面 2.hfish主页 3.hfish大屏
1.1K50编辑于 2023-09-05 - 来自专栏信安之路
网络蜜罐的前世今生
低交互式蜜罐不足 该阶段的蜜罐为低交互式蜜罐,只是模拟出了真正操作系统的一部分,例如模拟一个 FTP 服务。 : password updated successfully 3、拉取部署文件 root@VM-0-3-debian:/opt# su cowrie cowrie@VM-0-3-debian:/opt Resolving deltas: 100% (8561/8561), done. cowrie@VM-0-3-debian:~$ ls cowrie cowrie@VM-0-3-debian:~$ cd 激活虚拟环境并安装包: cowrie@VM-0-3-debian:~/cowrie$ source cowrie-env/bin/activate (cowrie-env) cowrie@VM-0-3 (cowrie-env) cowrie@VM-0-3-debian:/opt/cowrie/bin$ .
2.9K40发布于 2019-04-25 - 来自专栏一己之见安全团队
安全设备篇——蜜罐
蜜罐的定义 蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。 ,这其实就是一个蜜罐模型了。 蜜罐应用 蜜罐的概念很简单,但是应用到各方面十分复杂,最新的一些技术有wifi蜜罐、xxx业务蜜罐。 也确实,形成这种局面的主要原因是因为蜜罐的开发和应用是存在一些矛盾的,即使蜜罐高度可自定义服务及漏洞类型等,但定下后很难更改,且就监测来说,态势感知、waf等绝对是优先于蜜罐的,同时也不是所有安全设备支持联动 蜜罐虽然是模拟漏洞,但蜜罐本身不可能保证得了自己完全无漏洞可被利用,就比如去年hvv爆出的某安蜜罐逃逸,虽然不知道实锤了没,up没有关注后续(某安因为up没有证书没给面试,好气好气),说明蜜罐并不是绝对安全的产品
80810编辑于 2024-06-27 - 来自专栏白安全组
可视化蜜罐安装
下载文件 https://github.com/decoymini/DecoyMini/releases 上传到Linux机器中,添加执行权限 chmod +x DecoyMini_Linux_x64_v2.0.5266.pkg 然后安装 ./DecoyMini_Linux_x64_v2.0.5266.pkg -install 安装后会提示输入IP,配置http或者https访问,最后设置端口即可访问 默认密码:Admin@123 账号:admin
38110编辑于 2023-02-25 - 来自专栏信安之路
基于docker的蜜罐学习
学习蜜罐之间先介绍两个概念,低交互式蜜罐和高交互式蜜罐。 低交互式蜜罐 低交互式蜜罐只是模拟出了真正操作系统的一部分,例如模拟一个FTP服务。 虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻击,从而使蜜罐在这种情况下失效。 高交互式蜜罐 高交互式蜜罐是一部装有真正操作系统,并可完全被攻破的系统。 数据收集是设置蜜罐的技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。 至此一个简单的蜜罐系统就完成了。 总结 本文主要简单介绍了一下一个蜜罐的搭建与测试,在企业安全防护中,蜜罐系统对于检测攻击者的攻击非常有效,一旦攻击者误入蜜罐,我们就可以第一时间得知消息,然后及时进行应急响应,尽量在最短的时间内将攻击者踢出大门之外
55100发布于 2018-08-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号