- 综合排序
- 最热优先
- 最新优先
- 来自专栏Naraku的专栏
MySQL蜜罐
70 2f 43 6c 69 65 6e 74 2e 74 78 74,文件名 13 00 00 01 fb 44 3a 2f 74 65 6d 70 2f 43 6c 69 65 6e 74 2e \x6e\x25\x61\x3e\x48\x31\x25\x43\x2b\x61\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\ TABULAR filename = "D:/temp/Client.txt" get_data(filename, client, addr) client.close() 蜜罐识别 有些协议实现不完善的蜜罐,会把任意输入的用户名以及密码当成正确的; 许多蜜罐为了读取客户端的任意文件来识别攻击者的身份,会把客户端第一条执行的命令作为读取客户端文件的数据包返回; 登陆成功后通过SQL MySQL蜜罐获取攻击者微信ID 浅谈Mysql蜜罐识别 我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan
1.3K30发布于 2021-07-29 - 来自专栏Khan安全团队
蜜罐检测
核心功能功能模块技术实现URL去重输入文件哈希去重+结果文件增量校验智能限速令牌桶算法(支持动态时序调整)并发控制ThreadPoolExecutor线程池管理异常处理7大类错误分类统计(含QUIC协议错误) 蜜罐识别 无输入文件路径(UTF-8 编码) -t/--threads ❌ 10 个并发线程数(建议≤50) -r/--rate ❌无请求速率限制(请求数/秒) 输出文件文件名内容格式honeypot.txt 确认蜜罐
21300编辑于 2025-04-24 - 来自专栏安全小圈
蜜罐溯源
0x00软文目录 目录 前提 分析 email蜜罐 tomcat蜜罐 HSE蜜罐 epaper蜜罐 网络 ID 结果 附件 ? 0x01蜜罐介绍 前提 在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。 ? email蜜罐 据悉,首先进行信息探测踩点对email蜜罐,攻击源的IP为43.250.200.16【湖南省 联通】,去尝试访问80端口建立tcp的连接。 ? tomcat蜜罐 对tomcat蜜罐也进行了探测建立了tcp的连接,攻击源IP为175.0.52.248 【湖南省长沙市 电信】 ? epaper蜜罐 对epaper蜜罐进行了515次的攻击,尝试弱口令登录,地址 43.250.200.16 【湖南省 联通】 ? 进行目录穿越攻击 ? 暴力破解 ?
1.8K30发布于 2020-08-21 - 来自专栏giantbranch's blog
搭建mhn蜜罐管理系统并部署蜜罐
29911, uptime 0:18:41 mnemosyne RUNNING pid 28173, uptime 0:30:08 在另一机器部署蜜罐 非常简单 登录MHN server(就是上面我们配置好的机器,80端口就好) 点击 “Deploy” 选择一种蜜罐 (比如 “Ubuntu Dionaea”). 复制部署命令 登录到要部署的蜜罐服务器并用root用户运行 效果
42610编辑于 2024-12-31 - 来自专栏黑伞安全
6计连环——蜜罐如何在攻防演练中战术部防?
蜜罐进程级的监控能力,能够监控和记录攻击者进入蜜罐后的所有动作进行。Web类的蜜罐还可识别和记录攻击者使用的攻击方法和攻击载荷,可作为判断攻击者意图的重要依据。 制作具有真实性和迷惑性的Web蜜罐。 2. 将仿真Web蜜罐、通用Web蜜罐绑定至若干探针节点,通过地址转换、域名绑定等措施将探针节点发布至互联网。 仿真蜜罐应保证真实性和诱惑性。 为提升真实性,应避免使用系统服务和缺陷伪装服务蜜罐。 蜜罐被触发后,应及时处理告警信息,并根据攻击方动态调整蜜罐配置,必要时下线蜜罐,避免攻击者发现蜜罐后,为掩盖自己身份,将蜜罐地址随意分发,诱导无关人员访问,污染蜜罐告警数据。 战术6——乘胜追击 通过对攻击者行为日志的纪录,定位敌人实现技术反制 此战术仅限在攻防演练活动中使用,不得违反相关法律规定对未授权目标进行探测和扫描。
1.1K10发布于 2021-01-29 - 来自专栏闪石星曜CyberSecurity
浅谈蜜罐机制
那么对于攻击的日渐频繁,蜜罐也应运而生: 从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。 这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。 ? 说道这里就不得不说一下蜜罐的类型了: 1、低交互蜜罐(简单): 低交互蜜罐最大的特点是模拟(设计简单且功能有限,安装配置和维护都很容易) 2、中交互蜜罐(中度): 中交互蜜罐是对真正的操作系统的各种行为的模拟 3、高交互蜜罐(困难): 高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系统。 那么我们在这里简单说了一下蜜罐的类型,接下来我们说一下我通过蜜罐捕获东西 ? 看到这里大家或许觉得没啥。那么请看下面一张图 ?
2K30发布于 2020-07-27 - 来自专栏技术篇
浅析蜜罐技术
一、什么是蜜罐技术国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。 蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统。 相反的,低交互蜜罐只能模拟部分服务、端口、响应,入侵者不能通过攻击这些服务获得完全的访问权限。从实现方法上来分,蜜罐可分为物理蜜罐和虚拟蜜罐。 物理蜜罐是网络上一台真实的完整计算机,虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量。五、蜜罐防护过程图片蜜罐防护过程包括诱骗环境构建、入侵行为监控、后期处理措施3个阶段。 目前蜜罐研究多为工程部署,而较少涉及蜜罐基础理论。敌手与蜜罐对抗属于典型的博弈行为,可以将黄开枝、洪颖、罗文宇等人的博弈论应用至蜜罐中,通过博弈分析验证,为蜜罐提供理论支撑。
1.4K30编辑于 2022-09-28 - 来自专栏乌鸦安全
MYSQL蜜罐反制
应用场景 蜜罐是网络攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。同样,攻击方也可以通过蜜罐识别技术来发现和规避蜜罐,减少被防守方溯源。 蜜罐环境能否迷惑攻击者一定程度上取决于搭建环境是否仿真,简单的环境容易被攻击者识破。现如今,弱口令依然是导致网络安全事件的主要因素,有时候一个弱口令可能导致企业被攻击者从外网打到内网。 mysql蜜罐通过搭建一个简单的mysql服务,如果攻击者对目标客户进行3306端口爆破,并且用navicat等工具连接蜜罐服务器,就可能被防守方读取本地文件,包括微信配置文件和谷歌历史记录等等,这样很容易被防守方溯源 \x6e\x25\x61\x3e\x48\x31\x25\x43\x2b\x61\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\ x61\x73\x73\x77\x6f\x72\x64\x00" client.sendall(version_text) try: # 客户端请求信息
4.1K40发布于 2021-08-05 - 来自专栏网络安全攻防
Mysql蜜罐使用
信息 参考连接 https://github.com/qigpig/MysqlHoneypot https://github.com/heikanet/MysqlHoneypot 溯源反制之MySQL蜜罐研究 MySQL蜜罐获取攻击者微信ID
89280编辑于 2022-05-07 - 来自专栏程序生涯
HONEYPOT(蜜罐技术)
蜜罐技术(Honeypot):是一种被侦听、被攻击或已经被入侵的资源。 是一种被侦听、被攻击或已经被入侵的资源。 Honeypots(蜜罐)系统即为此而生。 蜜罐系统好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。 设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。 另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者等!
3.6K20发布于 2020-08-14 - 来自专栏应急响应
蜜罐安装和部署
蜜罐安装和部署实验步骤:安装和部署蜜罐:打开win7使用Xshell去连接蜜罐服务器,去上传web访问网页的软件包连接到蜜罐服务器之后,由于Xshell上传用命令执行上传会出现乱码,首先在win7上开启 ,节点会自动创建9个蜜罐服务,都是常见的这些蜜罐服务伪装成了常见的服务端口添加蜜罐服务:选择添加蜜罐服务,再创建一些蜜罐服务,比如添加一个企业开发经常用的自动化发布平台Jenkins在蜜罐服务器上,放通蜜罐服务的端口 (伪造的Jenkins平台)然后再伪装的Jenkins平台输入账号admin密码admin,看看返回(是一个中交互蜜罐服务)查看蜜罐的账号密码捕获,上一步输入用户名和密码后,在左边选择【威胁实体】—>【 @#,可以把这个用户名和密码放到企业信息监控里面,当蜜罐捕获到同样的用户名、密码时,说明这个开发账号、密码泄露了,需要赶紧整改然后在蜜罐服务伪装的Jenkins平台,https://192.168.0.3 @#后,再看看账号资产的监控信息可以看到,账号资产的监控信息中,企业信息监控捕获到一些泄露事件添加蜜饵:首先开启ssh的蜜罐服务,ssh蜜罐默认端口是22,由于和真实ssh服务冲突,默认是不启动的,将它改为飞默认端口
1.3K10编辑于 2024-08-14 - 来自专栏FreeBuf
T-Pot多蜜罐平台:让蜜罐实现更简单
这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜罐。 随着虚拟化技术的发展,各种虚拟蜜罐也得到发展,可以通过虚拟机来实现高交互蜜罐,以及通过docker实现的业务型蜜罐,不再像是以前需要昂贵硬件设备的部署支撑,这也大大减少了蜜罐的部署成本,一台主机就可以实现整个集数据控制 现在各功能蜜罐这么多,虽然MHN简化了各蜜罐的部署过程,但还是需要手动安装多个系统sensor来实现多个不同蜜罐。在蜜罐的研究过程中,有没有一个提供能更简单方便的平台实现我们对蜜罐的研究与使用。 T-Pot16.10多蜜罐平台直接提供一个系统iso,里面使用docker技术实现多个蜜罐,更加方便的蜜罐研究与数据捕获。 下面是刚把它部署到互联网6个小时的情况,先来看看它长什么,有没有使用的欲望。 ? ? ? ? 是不是看到都想感受一下?别激动还是先介绍一下它。
3.2K70发布于 2018-02-26 - 来自专栏高防
蜜罐的详细介绍
蜜罐的定义 蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。 蜜罐通过刻意构建安全漏洞来吸引攻击者。例如,蜜罐可能具有响应端口扫描或弱密码的端口。脆弱的端口可能保持开放,以诱使攻击者进入蜜罐环境而不是更安全的实时网络。 这样,蜜罐可以帮助优化和改进其他网络安全系统。) 蜜罐的优点和缺点 蜜罐可以提供有关威胁如何进化的可靠情报。 蜜罐的危险 虽然蜜罐网络安全技术将有助于绘制威胁环境图,但蜜罐不会看到所有正在发生的事情,而只能看到针对蜜罐的活动。 由于蜜罐可以用作进一步入侵的踏板,因此请确保所有蜜罐都得到良好保护。“蜜墙”可以提供基本的蜜罐安全性,并阻止针对蜜罐的攻击进入您的实时系统。 总体而言,使用蜜罐的好处远大于风险。
1.8K00编辑于 2022-05-29 - 来自专栏FreeBuf
网络蜜罐技术探讨
,网络蜜罐没有涉及到。 那么本篇文章和大家聊聊网络蜜罐。 ? 为什么要研究网络蜜罐? A)服务型蜜罐伪装欺骗的毕竟是被动的,如果可以从网络层面对APT攻击行为做强制性诱导,而不是被动的等待黑客上钩,更能体现蜜罐安全价值。 光有服务型蜜罐有些单一,目前业界解决方案,有三个方向,模拟数据中心服务的蜜罐,基于沙箱技术的客户端的蜜罐,和网络型诱导蜜罐。 网络蜜罐的核心技术 诱导是蜜罐的核心价值所在,那么怎么才能把攻击者诱导进入到蜜罐网络呢?
2.6K90发布于 2018-02-08 - 来自专栏建帅技术分享
Hfish安全蜜罐部署
一、Hfish蜜罐介绍 HFish蜜罐官网 HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、 可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。 HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性 二、安装部署 1.配置防火墙 请防火墙开启4433、4434,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。)
1.2K50编辑于 2023-09-05 - 来自专栏网络安全攻防
HFish蜜罐搭建使用
,其中管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击 主要特点 HFish当前具备如下几个特点: 安全可靠:主打低中交互蜜罐,简单有效 功能丰富:支持基本网络 服务、OA系统、 install.bat Step 5:进行登录 登陆地址:https://192.168.17.132:4433/web/login 初始用户名:admin 初始密码:HFish2021 Step 6: 之后进行数据库配置,这里我们直接选择SQLite 之后返回控制面板 之后进行密码修改 蜜罐使用 攻击大屏 https://192.168.17.132:4433/web/index 蜜罐列表 节点默认开启部分服务,包括FTP、SSH、Telnet、Zabbix监控系统、Nginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听 https API密钥,来自动获取攻击者的威胁情报,这里就不做演示了,又兴趣的用户可以自行配置 攻击蜜罐 服务扫描 使用Nmap扫描蜜罐查看对应的服务信息: nmap 192.168.17.132 SSH蜜罐
3.5K41编辑于 2022-05-07 - 来自专栏kali blog
网络安全与蜜罐
什么是蜜罐 蜜罐 技术本质上是一种对攻击方进行 欺骗的技术,通过布置一些作为 诱饵的主机、网络服务 或者 信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行 捕获 和 分析,了解攻击方所使用的工具与方法 蜜罐 好比是 情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。 多功能 不仅仅支持HTTP(S) 蜜罐,还支持SSH、SFTP、Redis、Mysql、FTP、Telnet、暗网 等 扩展性 提供API 接口,使用者可以随意扩展蜜罐模块 (WEB、PC、APP ) hydra -l root -P /root/pass.txt -t 6 ssh://192.168.1.8 image.png mysql蜜罐 hydra -l root -P /root/pass.txt 192.168.1.8 mysql image.png 当然也支持VNC FTP 等其他的蜜罐模块。
1.1K30编辑于 2021-12-19 - 来自专栏FreeBuf
HFish蜜罐使用心得
攻击数据分析 分布式蜜罐部署了几天后,接下来是对捕获的数据进行分析了,下面主要以 SSH 蜜罐攻击行为为例。各位大佬也可以从附件里下载数据库自行分析。往后如果有能力,会定期提供蜜罐捕获数据给各位。 后面会根据字典的地域性,在部署蜜罐的时候,修改特定的标致。 蜜罐检测 基于流量识别 这里以攻击者在内网,且蜜罐是以分布式部署情况作为示例,拓扑图如下: ? 高交互式蜜罐的配置文件在相应的 /libs/蜜罐类型/ 下面,默认default 值在 /libs/蜜罐类型/default.hf 。 ? ? 因为这漏洞是后台展示的原因,所以任何一个蜜罐都可以触发这个漏洞,这里以 ssh 蜜罐演示。 特性化配置 这里以攻击字典地域性特点及蜜罐检测中的交互式返回内容缺陷,特性化配置蜜罐。 根据地域,特性化蜜罐配置 将用户名、密码修改为统计的字典出现频率最高的值。
2.7K30发布于 2019-12-03 - 来自专栏信安之路
基于docker的蜜罐学习
学习蜜罐之间先介绍两个概念,低交互式蜜罐和高交互式蜜罐。 低交互式蜜罐 低交互式蜜罐只是模拟出了真正操作系统的一部分,例如模拟一个 FTP 服务。 虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻击,从而使蜜罐在这种情况下失效。 高交互式蜜罐 高交互式蜜罐是一部装有真正操作系统,并可完全被攻破的系统。 数据收集是设置蜜罐的技术挑战。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。 如果攻击者用新手法闯入了服务器,那么蜜罐无疑会证明其价值。) 蜜罐的优点 蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没。 root@ubuntu:~/ DROPS /doc/sql# ls mysql.sql update2.sql update3.sql update4.sql update5.sql update6.
1.4K00发布于 2018-08-08 - 来自专栏信安之路
网络蜜罐的前世今生
低交互式蜜罐不足 该阶段的蜜罐为低交互式蜜罐,只是模拟出了真正操作系统的一部分,例如模拟一个 FTP 服务。 objects: 100% (26/26), done. remote: Compressing objects: 100% (20/20), done. remote: Total 12330 (delta 6) , reused 24 (delta 6), pack-reused 12304 Receiving objects: 100% (12330/12330), 8.09 MiB | 1.14 MiB/s cowrie-env) cowrie@VM-0-3-debian:~/cowrie$ vim cowrie.cfg #写入以下文件,启用 telnet [telnet] enabled = true 6、 t-pot 对于资源的要求也比较高(t-pot 安装需要至少 6-8 GB RAM 和128 GB可用磁盘空间 (SSD) 以及可用的互联网连接),目前的最新版本为 19.03。
3.1K40发布于 2019-04-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号