开放透明:支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业微信、飞书、自定义WebHook告警输出 快捷管理:支持单个安装包批量部署,支持批量修改端口和服务 跨平台:支持Linux...x32/x64/ARM、Windows x32/x64平台、国产操作系统、龙芯、海光、飞腾、鲲鹏、腾云、兆芯硬件 应用场景 内网失陷报警 外网情报生成 攻击溯源反制 内部人员风险 快速部署 Linux...平台 此处我们使用Docker来快速搭建部署一个HFish: Step 1:防火墙开启4433、4434,确认返回success firewall-cmd --add-port=4433/tcp --permanent...:服务查看 Step 4:Web端访问 登陆链接:https://[ip]:4433/web/ 账号:admin 密码:HFish2021 Docker部署 此处我们还可以使用Docker来快速搭建部署一个...蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听 https://192.168.17.132:4433/web/nodeList 可支持的蜜罐列表如下: https
最近快HW啦,Hfish蜜罐呼声很高,尝试搭建一下。 ---- ?...单节点部署(本次主要是个人云服务器搭建) 环境变量API_IP的值为 API 的 IP 地址加端口组成。...搭建时候修改了端口和密码 启动后进入docker容器 进去后可以修改端口和密码 vi Hfish/config.ini ?...# 是否启动 VNC蜜罐 0 关闭 1 启动 addr = 0.0.0.0:5900 # VNC蜜罐 服务端地址 注意端口冲突 ---- linux...搭建起来效果很不错。数据展示还有过程记录还是不错的。
,未使用无痕模式或者识别蜜罐插件,甚至把蜜罐当作成果分享给队友反制的大致流程蜜罐部署部署一个高仿真的虚拟环境,这里有一些事项需要注意的部署的蜜罐需提前向裁判报备,避免后续扯皮,且蜜罐需单独隔离,防止横向扩散蜜罐不能太假...进行后渗透利用镜像导入云服务器需要到下面这个地址下载驱动进行安装,再导出镜像,不然在云服务器会导入失败https://cloud.tencent.com/document/product/213/17815搭建成功后把域名解析到...IP上,域名命名最好以 demo、crm常见字典内字符为主,确保能被子域名扫描器识别到另外可以通过waf自定义重定向页面至蜜罐地址,加快fofa、hunter等测绘平台的收录速度蜜罐部署好了,接下来就是木马的投放选择...,例如安全博客、扫描器等等,从这些资产中溯源可以提高效率,这里推荐使用eholehttps://github.com/EdgeSecurityTeam/EHole举个例子,根据IP进行端口扫描发现到其搭建了灯塔系统并通过态势感知平台发现其最近有扫描行为...攻击队应该感激我没有把任务删掉哈哈反制攻击队成员2又是一位幸运玩家不小心踩罐,从机器上的python脚本文件找到ICP备案查询的cookie和tokenburp替换cookie后成功获取攻击者的百度ID进而互联网搜索其名字的相关信息,发现还搭建了技术博客
溯源反制-自搭建蜜罐到反制攻击队 前言 本篇文章结合最近的ps比赛和之前的案例总结了一些作为蓝队的经验,希望能对蓝队溯源得分有所帮助,如果还有其他奇招妙法欢迎师傅们多多交流 溯源反制一直是老生常谈的话题...,未使用无痕模式或者识别蜜罐插件,甚至把蜜罐当作成果分享给队友 反制的大致流程 蜜罐部署 部署一个高仿真的虚拟环境,这里有一些事项需要注意的 部署的蜜罐需提前向裁判报备,避免后续扯皮,且蜜罐需单独隔离...,防止横向扩散 蜜罐不能太假,如多端口开启不同的web服务,系统要给攻击人员一种是靠自己努力获取成果的假象 如果直接使用xx厂商的云蜜罐,特征十分明显,还很容易在测绘平台上打上蜜罐标签,并且常规反制功能很鸡肋...镜像导入云服务器需要到下面这个地址下载驱动进行安装,再导出镜像,不然在云服务器会导入失败 https://cloud.tencent.com/document/product/213/17815 搭建成功后把域名解析到...又是一位幸运玩家不小心踩罐,从机器上的python脚本文件找到ICP备案查询的cookie和token burp替换cookie后成功获取攻击者的百度ID 进而互联网搜索其名字的相关信息,发现还搭建了技术博客
,未使用无痕模式或者识别蜜罐插件,甚至把蜜罐当作成果分享给队友 反制的大致流程 蜜罐部署 部署一个高仿真的虚拟环境,这里有一些事项需要注意的 部署的蜜罐需提前向裁判报备,避免后续扯皮,且蜜罐需单独隔离...,防止横向扩散 蜜罐不能太假,如多端口开启不同的web服务,系统要给攻击人员一种是靠自己努力获取成果的假象 如果直接使用xx厂商的云蜜罐,特征十分明显,还很容易在测绘平台上打上蜜罐标签,并且常规反制功能很鸡肋...镜像导入云服务器需要到下面这个地址下载驱动进行安装,再导出镜像,不然在云服务器会导入失败 https://cloud.tencent.com/document/product/213/17815 搭建成功后把域名解析到...例如安全博客、扫描器等等,从这些资产中溯源可以提高效率,这里推荐使用ehole https://github.com/EdgeSecurityTeam/EHole 举个例子,根据IP进行端口扫描发现到其搭建了灯塔系统...又是一位幸运玩家不小心踩罐,从机器上的python脚本文件找到ICP备案查询的cookie和token burp替换cookie后成功获取攻击者的百度ID 进而互联网搜索其名字的相关信息,发现还搭建了技术博客
这几年随着威胁情报的成熟,蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜罐。...现在各功能蜜罐这么多,虽然MHN简化了各蜜罐的部署过程,但还是需要手动安装多个系统sensor来实现多个不同蜜罐。在蜜罐的研究过程中,有没有一个提供能更简单方便的平台实现我们对蜜罐的研究与使用。...我们可以在同一台设备上运行多个蜜罐进程,每个蜜罐占用的空间较小并限制在蜜罐自己的环境中运行。 该平台的架构图如下: ?...dionaea:Dionaea是运行于Linux上的一个应用程序,将程序运行于网络环境下,它开放Internet常见服务的默认端口,当有外来连接时,模拟正常服务给予反馈,同时记录下出入网络数据流。...mailoney:SMTP的蜜罐。 netdata:web端设备性能的实时监控工具。 portainer:web端docker容器管理工具。 rdpy:python搭建的远程桌面蜜罐。
0x00软文目录 目录 前提 分析 email蜜罐 tomcat蜜罐 HSE蜜罐 epaper蜜罐 网络 ID 结果 附件 ?...0x01蜜罐介绍 前提 在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。 ?...email蜜罐 据悉,首先进行信息探测踩点对email蜜罐,攻击源的IP为43.250.200.16【湖南省 联通】,去尝试访问80端口建立tcp的连接。 ?...tomcat蜜罐 对tomcat蜜罐也进行了探测建立了tcp的连接,攻击源IP为175.0.52.248 【湖南省长沙市 电信】 ?...epaper蜜罐 对epaper蜜罐进行了515次的攻击,尝试弱口令登录,地址 43.250.200.16 【湖南省 联通】 ? 进行目录穿越攻击 ? 暴力破解 ?
TABULAR filename = "D:/temp/Client.txt" get_data(filename, client, addr) client.close() 蜜罐识别...有些协议实现不完善的蜜罐,会把任意输入的用户名以及密码当成正确的; 许多蜜罐为了读取客户端的任意文件来识别攻击者的身份,会把客户端第一条执行的命令作为读取客户端文件的数据包返回; 登陆成功后通过SQL...IP,总连接次数 SELECT host,total_connections FROM sys.host_summary 参考文章 Read MySQL Client's File 溯源反制之MySQL蜜罐研究...MySQL蜜罐获取攻击者微信ID 浅谈Mysql蜜罐识别 我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan
应用场景 蜜罐是网络攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。同样,攻击方也可以通过蜜罐识别技术来发现和规避蜜罐,减少被防守方溯源。...蜜罐环境能否迷惑攻击者一定程度上取决于搭建环境是否仿真,简单的环境容易被攻击者识破。现如今,弱口令依然是导致网络安全事件的主要因素,有时候一个弱口令可能导致企业被攻击者从外网打到内网。...mysql蜜罐通过搭建一个简单的mysql服务,如果攻击者对目标客户进行3306端口爆破,并且用navicat等工具连接蜜罐服务器,就可能被防守方读取本地文件,包括微信配置文件和谷歌历史记录等等,这样很容易被防守方溯源...如果出现secure-file-priv 选项为NULL则表示禁止导入导出,可修改mysql配置文件(Windows下为my.ini, Linux下的my.cnf),查看是否有:secure_file_priv
什么是蜜罐 蜜罐:技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机...蜜罐 好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。...、APP ) 3)便捷性:使用 Golang + SQLite 开发,使用者可以在 Win + Mac + Linux 上快速部署一套蜜罐平台 1、下载HFish Linux64位版本 https:/...-linux-amd64 HFish cd HFish #-h查看命令帮助 ....7、蜜罐效果 ? ? ? ? ?
文章前言 本篇文章我们主要介绍如何通过搭建一个Fake Mysql来伪装Mysql服务器并诱导攻击者来连接,之后利用漏洞来读取攻击者电脑的文件以进行对攻击者进行刻画肖像 获取思路 下面我们介绍一下读取手机号和微信...信息 参考连接 https://github.com/qigpig/MysqlHoneypot https://github.com/heikanet/MysqlHoneypot 溯源反制之MySQL蜜罐研究...MySQL蜜罐获取攻击者微信ID
蜜罐技术(Honeypot):是一种被侦听、被攻击或已经被入侵的资源。 是一种被侦听、被攻击或已经被入侵的资源。...Honeypots(蜜罐)系统即为此而生。 蜜罐系统好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。...设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。...设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。...另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者等!
MHN中心服务器搭建 0x00 介绍 MHN(Modern Honey Network),是一个用于管理和收集蜜罐数据的中心服务器。...通过MHN,可以实现快速部署多种类型的蜜罐并且通过web可视化界面显示蜜罐收集的数据,目前支持的蜜罐类型有捕蝇草(Dionaea), Snort, Cowrie, glastopf等。...0x01 搭建 # on Centos or RHELyum install -y gitcd /opt/git clone https://github.com/threatstream/mhn.gitcd.../install.sh 0x02 搭建中遇到的一些问题 由于install.sh安装脚本中需要安装Python2.7,如果原服务器使用Python2.6或者其他版本,会导致yum冲突,出现"no mudule...startupdate-rc.d xrdp defaults #开机自启 时区设置: dpkg-reconfigure tzdata Asia/Chinese Hong Kong 部署Dionaea蜜罐
那么对于攻击的日渐频繁,蜜罐也应运而生: 从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。...这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。 ?...说道这里就不得不说一下蜜罐的类型了: 1、低交互蜜罐(简单): 低交互蜜罐最大的特点是模拟(设计简单且功能有限,安装配置和维护都很容易) 2、中交互蜜罐(中度): 中交互蜜罐是对真正的操作系统的各种行为的模拟...3、高交互蜜罐(困难): 高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系统。...那么我们在这里简单说了一下蜜罐的类型,接下来我们说一下我通过蜜罐捕获东西 ? 看到这里大家或许觉得没啥。那么请看下面一张图 ?
一、什么是蜜罐技术国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。...蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统。...相反的,低交互蜜罐只能模拟部分服务、端口、响应,入侵者不能通过攻击这些服务获得完全的访问权限。从实现方法上来分,蜜罐可分为物理蜜罐和虚拟蜜罐。...物理蜜罐是网络上一台真实的完整计算机,虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量。五、蜜罐防护过程图片蜜罐防护过程包括诱骗环境构建、入侵行为监控、后期处理措施3个阶段。...目前蜜罐研究多为工程部署,而较少涉及蜜罐基础理论。敌手与蜜罐对抗属于典型的博弈行为,可以将黄开枝、洪颖、罗文宇等人的博弈论应用至蜜罐中,通过博弈分析验证,为蜜罐提供理论支撑。
在企业内部在不同网络内搭建多个蜜罐诱捕节点可以大大帮助我们提高攻击追踪溯源的能力。蜜罐的作用大小取决于蜜罐的真实性,越“真”越能欺骗到攻击者“上当”。...Kippo是一款强大的SSH蜜罐工具,它具有很强的互动性,当攻击者拿到了蜜罐的SSH口令后可以登录到蜜罐服务器执行一些常见的Linux命令。...0x01 搭建 在搭建Kippo之前首先给大家介绍一个蜜罐系统——HoneyDrive,HoneyDrive是一个运行在linux下的蜜罐系统,在HoneyDrive上具有几十个各种各样的蜜罐程序,如Dionaea...当运行成功后,我们可以使用SSH工具,如XSHELL来连接我们创建的蜜罐。 ? 在蜜罐中可以执行基本的Linux的命令,他都会有回复,如ifconfig、ps等命令。...0x03 总结 本文介绍了Kippo这款SSH蜜罐的搭建和简单使用方法,这款蜜罐软件很强大,还有更强大的使用方法需要摸索,新人第一次写文章,希望大家能够多多支持。
,网络蜜罐没有涉及到。...那么本篇文章和大家聊聊网络蜜罐。 ? 为什么要研究网络蜜罐?...A)服务型蜜罐伪装欺骗的毕竟是被动的,如果可以从网络层面对APT攻击行为做强制性诱导,而不是被动的等待黑客上钩,更能体现蜜罐安全价值。...光有服务型蜜罐有些单一,目前业界解决方案,有三个方向,模拟数据中心服务的蜜罐,基于沙箱技术的客户端的蜜罐,和网络型诱导蜜罐。...网络蜜罐的核心技术 诱导是蜜罐的核心价值所在,那么怎么才能把攻击者诱导进入到蜜罐网络呢?
不久前,我开始了一个管理真实网络蜜罐的项目。最初我建立它是为了管理一些WordPress蜜罐,但在Drupalgeddon2出来后,使我不得不重新构建该项目。...你可以使用JSON和相应的docker-compose文件来配置蜜罐。docker-compose文件描述了用于蜜罐的容器及其设置,而JSON文件则用于配置框架如何检测攻击并获取蜜罐的快照。...init:初始化蜜罐(例如,第一次设置)并创建初始快照 更新:更新蜜罐并创建新的初始快照 reset:快照蜜罐,检测更改并恢复初始快照 在野捕获 CVE-2019-6340 有了以上的基础,现在我们可以构建和配置...配置蜜罐 我已经为构建Drupalgeddon2蜜罐做了一个配置。你可以在GitLab上找到它。让我们克隆它并为CVE-2019-6340做准备。...运行蜜罐 配置蜜罐完成后,我们来获取易受攻击的Drupal版本(例如8.6.9),并将其解压缩到.
一、Hfish蜜罐介绍 HFish蜜罐官网 HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、...可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。...HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性...二、安装部署 1.配置防火墙 请防火墙开启4433、4434,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。)
这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜罐。...现在各功能蜜罐这么多,虽然MHN简化了各蜜罐的部署过程,但还是需要手动安装多个系统sensor来实现多个不同蜜罐。在蜜罐的研究过程中,有没有一个提供能更简单方便的平台实现我们对蜜罐的研究与使用。...T-Pot16.10多蜜罐平台直接提供一个系统iso,里面使用docker技术实现多个蜜罐,更加方便的蜜罐研究与数据捕获。...Dionaea: Dionaea是运行于Linux上的一个应用程序,将程序运行于网络环境下,它开放Internet常见服务的默认端口,当有外来连接时,模拟正常服务给予反馈,同时记录下出入网络数据流。...Dionaea: Dionaea是运行于Linux上的一个应用程序,将程序运行于网络环境下,它开放Internet常见服务的默认端口,当有外来连接时,模拟正常服务给予反馈,同时记录下出入网络数据流。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
