安全红蓝对抗反制(反捕、画像)

已于 2022-08-25 11:12:47 修改
阅读量3.6k 收藏 20
点赞数 1
分类专栏: 安全文献 Honeypot 文章标签: 运维
于 2021-03-09 14:27:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/114581750
版权
安全文献 同时被 2 个专栏收录
137 篇文章 64 订阅 ¥19.90 ¥99.00
订阅专栏
Honeypot
11 篇文章 10 订阅
订阅专栏

目录

1.蜜罐

1.1 放置高交互蜜罐

1.2 放置多个容易被发现的蜜罐

1.3 在蜜罐中使用JSONP探针

1.4 蜜罐挂马

2.信息干扰

3.反击思路

3.1 反制钓鱼页面

3.2 反制钓鱼邮件

3.3 反制攻击工具

3.5 利用winrar漏洞

3.6 利用openvpn客户端配置文件后门进行反制

3.7 反制coablt strike

三、溯源

四、参考文章

1.蜜罐

蜜罐可以理解成互联网上的一台主机,它的作用是诱骗攻击者去对自己进行攻击,然后记录攻击者的攻击细节并生成对应的攻击者画像,是当前的一种比较主流的入侵检测系统也是一种主动防御系统。

1.1 放置高交互蜜罐

放置高交互蜜罐,例如一个邮箱服务类型的蜜罐,攻击者有可能会进行邮箱注册,这样子攻击者就主动向我们留下了自己的身份信息。

1.2 放置多个容易被发现的蜜罐

放置多个攻击者可以轻而易举发现的蜜罐,攻击者就会知道自己所在的环境是被蜜罐所包围的,有可能就会放弃进行大范围攻击,变相保护了蜜罐背后的真实核心系统。

1.3 在蜜罐中使用JSONP探针

蜜罐中设置一个网页,网页

了解本专栏 订阅专栏 解锁全文
墨痕诉清风
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
万字长文:盘点2022全球10大数据泄漏事件(红蓝攻防角度)
大数据
07-11 5129
导读:全球每年都会有大量的爆炸性的数据泄漏事件发生,但是今年的数据泄漏事件特别多,此起彼伏,而且数据泄漏的规模和造成的破坏性影响,一次比一次大。根据Identify Theft Research Center中心的数据显示,与2021年同期相比,今年的数据泄漏事件增长了14%,公用事业企业、医疗机构、金融服务公司、制造企业是黑客的首要攻击目标。作者:红蓝攻防来源:大数据D...
服务器被入侵了?反手溯源出入侵者画像网络安全
javagty6778的博客
03-13 144
这篇文章:该 CMS 版本是 4.2。以下漏洞均被 CNVD 收录。此次代码审计使用了通用代码审计思路的两种,第一种:根据功能点定向审计、第二种:敏感函数回溯参数过程,没有用到的是通读全文代码。活用 phpstorm 可以让代码审计的效率大大增加。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
红蓝对抗中的溯源反制实战.pdf
03-12
红蓝对抗中的溯源反制实战.pdf
【溯源反制——攻击者画像】(hw蓝队兄弟看这里)画像包括哪些内容?如何对攻击者进行画像?怎么进行防溯源操作?攻击行为推演、攻击者画像、演练防止溯源
最新发布
m0_62783065的博客
08-11 1300
【溯源反制——攻击者画像】(hw蓝队兄弟看这里)画像包括哪些内容?如何对攻击者进行画像?怎么进行防溯源操作?攻击行为推演、攻击者画像、演练防止溯源
红蓝对抗-记一次HW攻防测试溯源实例
lza20001103的博客
08-29 719
记一次攻防演练溯源实例 文章目录记一次攻防演练溯源实例前言开展溯源 前言 在今年的攻防期间,通过安全设备告警分析,需要对某个源攻击IP进行溯源反制,并且需要记录整个溯源过程和提交溯源报告。 开展溯源 研判 在溯源之前,首先应该判断是否真的存在攻击行为,攻击的特征,攻击类型,攻击者意图都是需要搞清楚的,不能盲目地对某个IP就展开溯源,这样不仅方向跑偏了,又浪费了时间。 经过研判分析,判断IP(106.14.x.x)确实存在恶意攻击,这里就不再叙述如何研判的了,经验丰富的师傅们一看就知道了,确定IP之后,作为防
蓝队溯源与反制
zhangge3663的博客
05-06 3766
本文简单写下红蓝对抗过程中蓝队的一些溯源与反制方法。 一、蜜罐反制 (1)商用型 近年来越来越多的厂商选择部署商用蜜罐来诱导攻击者,衡量蜜罐好坏的关键因素为诱捕能力,即为诱惑捕捉能力。 利用蜜罐可以做到:获取攻击者的P(真实IP,代理IP等)、ID、操作系统、设备信息等,也可通过诱饵进行钓鱼反制。 蜜罐常见形式可以直观的分为web页面型,命令行型,windows型等。 web页面例如weblogic、phpmyadmin、crm等,攻击者可进行弱口令登陆,暴力破解,历史漏洞,后台shell等,蜜罐页面中会
红蓝演习对抗之溯源篇
nini_boom的博客
06-05 3504
分享工作之外有用的事情。 一、流量监测 流量中发现有IP持续在对公司资产进行攻击。 初步判断是有人使用扫描器在对公司资产进行攻击。 二、溯源信息 为了能找到更多攻击者的信息,首选是拿下攻击者的服务器。 我听取了大神的建议,使用goby进行初步的扫描,不用不知道,一用吓一跳。 这里吹一波goby,基于go内核,速度和效率有保证,UI优雅,采用 Electron+VUE 前端框架,跨平台,从扫描到打漏洞库,乃至生成报告,一条龙服务了。哈哈哈,废话少说,看结果。 不到5s,结果出来了,很明显,这里存在.
办公网络终端都应该做哪些安全防御措施
maoguan121的博客
10-03 2909
终端安全响应系统(Endpoint Detection and Response,EDR) 是传统终端安全产品在高级威胁检测和响应方面的扩展与补充,它通 过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文 件等维度来评估企业网络中存在的未知风险,并以行为引擎为核心, 利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失, 增强可见性,提高整体安全能力。
通过蜜罐技术获取攻击者手机号、微信号【网络安全
热门推荐
HBohan的博客
03-04 1万+
蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。
网络安全中攻击者画像的关键技术研究.pdf
09-20
网络安全中攻击者画像的关键技术研究.pdf
AHRID-黑客攻击画像分析系统.zip
12-11
笔者曾混迹过各种攻防演练活动,参与过防守方、攻击方,也算是大概了解了每一个队伍的任务~参加防守时印象尤为深刻,也跟一起防守的“战友”做过有趣的事情,例如:反打攻击队;题外话说的有点多了,来说说为什么开发这样一个平台:作为一个防守方光看日志固然是枯燥无味的,偶尔来几次反向打击啥的,增添防守的乐趣~所以我想到了做这样一个系统,就是想在“空暇”时间能获取点“黑客攻击者”的“画像”。 本平台采用被动式的方式分析黑客攻击者画像,可扩展赋能蜜罐以及安全设备,将平台接口部署在蜜罐Web界面上即可,当攻击者访问所部署的Web界面即触发平台分析功能,对访问者进行分析,数据回传平台分析其网络身份、IP、IP定位:物理地址等信息。 AHRID 信息展示 平台支持接口授权的方式授权站点,已授权站点才可使用平台接口进行被动式的攻击者画像分析以及数据回传。 AHRID 接口授权 平台的分析功能采用模块化设计,可针对不同的分析功能新建不同的分析模块进而让平台的分析功能更加丰富完善(开源版本目前只支持JSONP探针模块) AHRID 提交模块 AHRID开源版使用 授权使用 登录进AHRID平台之后需要先添加接口授权: AHRID 接口授权 当添加完毕后,复制接口代码至蜜罐页面或需监测的页面中即可(建议复制到最后),这样就已经部署成功了,只需要等待攻击者触发数据回传功能,等待画像信息即可。 模块提交 当已经发现一个JSONP劫持漏洞时,即可提交到AHRID平台上: JSONP 劫持漏洞 漏洞地址:http://my.website/dorabox/csrf/jsonp.php?callback=test 要获取的信息:username 模块提交说明: 1. 名字模块名字(建议使用英文) 2. SRC存在JSONP劫持漏洞的URL地址 3. 回调参数值回调参数的值(参数=值) 4. 数据字段JSON字段(例如:{"username":"123"},要获取的是username即填写username;例如:{"data":{"uid":"123"}},要获取的是uid即填写data.uid) 5. 信息展示地址一般填写无或者随意填写 6. 模块描述根据模块功能说明 AHRID 模块提交示例 AHRID开源版设计概述 当攻击者访问到部署了AHRID接口的页面,即触发JSONP探针获取攻击者已登录状态下的登录信息,回传登录信息+IP+UA,后端会对IP进行物理地址转换,最终将数据记录到数据库。 数据库结构 表:Admin - 列:id,username,password 表:Hackinfo - 列:hid,host,ip,user_agent,jsondata,creaye_time,times 表:Plugins - 列:pid,name,src,callback,columns,url,commit 表:Apis - 列:aid,host IP地址转换依赖:GeoLite2-City.mmdb IP定位依赖:接口 apis.map.qq.com、way.jd.com + 取中心点 依赖环境:Python2 + Flask + Mysql 所需网络环境:互联网(可出网) AHRID开源版搭建 1.config.py 配置文件修改 需要配置的信息如下: USERNAME: Mysql用户名 PASSWORD: Mysql用户密码 HOST: Mysql主机地址 PORT: Mysql端口 SECRET_KEY: SESSION 秘钥(建议16位以上随机英文字母+数字+特殊符号) TX_KEYS: 腾讯接口KEYS(2个以上,参考:https://lbs.qq.com/webservice_v1/guide-ip.html) JCLOUD_KEY: 京东云接口KEY(Github可白嫖) 2.Mysql创建“ahrid”数据库 3.执行如下代码 python manage.py db init python manage.py db migrate 4.启动服务:sudo python app.py 默认端口为:80,可自行修改app.py文件如下代码部分 server = pywsgi.WSGIServer(('0.0.0.0', 80), app)
YUNDUN | HW实战,安全随行
BaishanCloud的博客
07-01 908
安全不是纸上谈兵,其本质在于攻守双方的实战对抗。随着5G、AI等新技术引领而来的新时代下,企业数字业务的安全性面临着前所未有的挑战。 攻防演练是检验企业安全体系建设的有效实践,在攻防实战的过程中,面对全开放的环境、海量的账号、不可控的终端,引发企业思考以下几点: 现有各自割裂、以边界为中心的单点防御体系,难以有效应对大规模、高频、高级定向攻击? 攻防信息不对称,攻击方层层突破,无力应对0day攻击,稍有疏忽即可能失陷丢分? 攻击突破边界后,投入大量成本正面抗敌,缺乏迷惑性的战.
聊聊红队反制
SHELLCODE_8BIT的博客
12-28 345
1.要经常更新自己干活的工具,goby,chrome,burp等一列扫描器,避免被反击 2.干活机和个人机永远隔离
鸡肋的RDP反制
crowsec
08-24 410
在很多攻防中,蓝队想要根据一台公网的RDP服务器或者Windows蜜罐服务器,获取攻击者本身的真实pc,可以尝试使用RDP反制来操作,本文以此为背景,进行学习记录。
基于文件传输的RDP反向攻击
chaojixiaojingang
08-06 1671
1.简述 RDP反向攻击的姿势有不少,本次是通过挂载盘符进行 RDP 反向攻击。其基本原理就是Windows 远程桌面客户端 mstsc 有一个盘符挂载选项,如果勾选了该选项,会开启磁盘共享功能,相当于将你的磁盘在远程主机上共享,你可以通过类似于 SMB 文件传输命令那样将位于远程主机上的文件复制到客户端主机上。如果我们通过相应的设置,在客户端连接远程主机的一瞬间,将远程主机上早已准备好的木马程序复制到客户端主机的启动项中,那么当客户端主机下一次启动时便会执行该木程序,客户端主机便可以成功...
开启rdp_RDP反向攻击
weixin_26757949的博客
01-13 1005
RDP反向攻击介绍这里讲两种攻击方式:利用挂载盘符进行攻击利用CVE-2019-0887进行攻击两者都是在攻击的登录远程桌面时,向攻击者PC的启动目录写入恶意文件,需要重启才能运行恶意文件。我这里测试的时候,存在很多问题,尤其是后者,较不稳定,按照严格意义并没有复现成功,也许是操作系统问题,也许是代码问题。利用挂载盘符原理是通过访问tsclient,并通过目录遍历找到启动目录,将恶意文件...
rdp反向攻击利用总结
weixin_44747030的博客
11-19 818
rdp反向攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值