免责声明
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
欢迎关注本公众号,长期推送技术文章
前言
分享一期关于自己以前某次攻防演练期间,作为防守方通过蜜罐捕获,对攻击队进行真实溯源的小思路
因为某些原因,这里的省略一些图片,还请大家见谅
蜜罐捕获
首先在演练开始前,咱们已经针对性的布置了几个蜜罐站点,其中就有一个致远A6的后台管理蜜罐。
某天早上,平台突然提醒有小伙伴访问了这个致远后台,并且进行了一顿梭哈
刚开始一顿输出,应该是用工具进行扫描的,并没有获取什么有用的信息,后来不知道什么情况,人家可能是想查看一下具体是什么情况,可能使用浏览器进行访问查看了,咱们也就获取到对方浏览器里面的一些有用的信息
溯源过程
通过蜜罐捕获,咱们获取到了一个关键信息138111xxxx11,还有一个头像
首先咱们需要获取完整的手机号信息,身为攻击队的小伙伴,咱们判断人家有csdn的账号应该不过分吧,通过找回账号查询一波可能存在的手机号(初步筛查)
通过遍历,咱们大概率会获取到几个存在的用户,然后咱们蜜罐还对应抓取到了对方百度账号的头像,咱们通过百度网盘进行搜索账号,对比头像可以进一步缩小范围
这里咱们运气好也是在一番比对后,获取到了对应的信息,经过后续一番常规溯源手法,也是定位到那个小伙伴
因为疏忽,浏览器登录了百度账号,对咱们来说应该就是比较幸运
思路二
当咱们获取到对方未做隐藏的vps的情况下,最开始的时候还可以通过类似的方式进行获取模糊查询,但是现在官方对其进行修改,已经不太可能获取到了,这里只是小小的介绍一下
输入对方的ip之后,咱们可以获取模糊的信息,但是太宽泛了,实际利用不太切实
总结
现在在做测试的过程中,一定要做好自身防护,蜜罐技术越来越完善,现在已经不光是溯源,还包括一些反制,类似于sqlmap反制、蚁剑反制等
一方面咱们要提高自身保护意识,一方面做好使用虚拟机,浏览器不保存自己的账号密码等,避免出现被溯源的情况。
往期精彩:
原文始发于微信公众号(渗透云记):溯源小技巧之蜜罐抓取的脱敏手机号的还原思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论