在某次演练分配在外网打点,遇到了几种类型的蜜罐。有那种三十六计心里博弈的感觉,把我这个老实人骗挺惨。记录一下猛踩蜜罐的心路历程。
第一种笑里藏刀,但打直球。很喜欢这种蜜罐,就好像一个骗子,聊两句就直奔主题问你要钱。咱互相也不浪费对方时间,你就给我一句话,你给不给骗吧。一访问直接去读信息,骗不到也没有别的动作了。说实话我很喜欢,至少都不浪费时间。
第二种犹抱琵琶半遮面,美人计。说是半遮面呢,不打直球读我信息,但是其实也挺明显。专门拿个子域名叫xxl.abc.com,或者zabbix.abc.com,秀色可餐。弱口令一下子进去了,看到第一反应,“有这种好事?”这种懒起来都不太想打点。
第三种欲拒还迎,让人欲罢不能,调虎离山耗时间型。先说在前面,被这个罐子骗了两三人天。有一个Web后台,不合理是一下子扫出了shiro密钥,合理的地方是不读取我信息、后台密码爆破不进去,而且有密钥没有找到链子。移交给大师傅看了一眼,大师傅找到了链子,但是有Waf,不出网且payload有长度限制没法写内存马,没法后续操作。问题一下子从这是不是个蜜罐变成,你能不能绕过WAF,想起周鸿祎说过的一句话“没有攻不破的系统,只有不努力的黑客。”很好罐子成功激起了一个男人的好胜欲。一天后,大师傅表示,绕过WAF可以命令执行了,但是由于payload长度限制看不到回显。再经过一来一回以后终于可以看到回显上线了。高高兴兴把口子交了。但是没想到,这是激将法。
把消息跟大师傅说了之后,大师傅回了我三个点,非常愧疚。
第四种欲擒故纵。我也是才知道,原来罐子,也可以不提交给裁判。毕竟有警戒心的攻击队员,觉得口子有问题可能会先提交给裁判。结果裁判说不是蜜罐,可能会放松禁戒。这样扣分也就扣一两百分,既能拖延时间,搞不好还能反制。反客为主,关门捉贼,在某个偏僻角落不小心泄露用户VPN账密,或者数据库账密,下载连接就把你扒光。我把你当好兄弟,你却想拿我上分。
大概那次演练遇到的就是这几种罐子,最后两种欺骗性真挺大。我永远喜欢单纯善良的软柿子。
七月末了,祝师傅们八月天天开心。
原文始发于微信公众号(云下信安):忠厚老实红队眼里的蜜罐
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论