拿到shell进入内网后虽然ms17010横行但也是不能拿着扫描器到处扫的,每一步都应该小心谨慎,基本原则就是不要被扣分
所以首先在下认为应该判断是否为虚拟机,docker,蜜獾等
docker通常会有一些命令not find例如ifconfig uname-a 等
如果打着四面漏风的系统多半就是蜜獾了,而且里面没有正经的办公痕迹的也很可疑
可以用如下方式识别一些简单蜜獾
1. BOF的识别;BOF(Back Officer Friendly)
2. 假代理技术,关注Honeypot Hunter软件;
3. Honeyd的识别;
4. 利用Sebek识别蜜网,第二、三代蜜网都有这个软件;
5. Tarpits的识别;
6. 外联数据控制识别,一般蜜罐会严格限制系统向外的流量;
7. 识别VMware虚拟机,重点关注MAC地址的范围
8. 用Nmap等Scan工具,同一个机器同时开放很多Port的。
9. 因为很多蜜罐都设置在相同或临近的网段。所以,同一个网段(e.g. /24),很多机器都开放相同的Port,回应相似的Response。
10. 去Shodan/Censys查
vm虚拟机为运行xchg ecx,eax 时间大于0xFF时可以确定,上传检测小脚本测试
//使用如下命令判断docker
ls -alh ./dockerenv
cat /proc/1/cgroup
env \ PATH //检查是否有docker相关的环境变量
//ifconfig可以直接看到docker网卡,没有ifconfig时查看本机ip
cat /etc/hosts
//检测vm虚拟机
sudo dd if