前言

文章到底在講什么？
省流：實(shí)戰(zhàn)演示，教你如何偽造一個(gè)釣魚(yú)網(wǎng)站，獲取對(duì)方信息

一、蜜罐

1. 概念

蜜罐這個(gè)詞，最早是被獵人使用的。獵人把罐子裝上 蜂蜜，然后放個(gè)陷阱，專門(mén)用來(lái)捕捉喜歡甜食的熊。

后來(lái)在網(wǎng)絡(luò)安全領(lǐng)域里， 人們就把欺騙攻擊者的誘餌稱為“蜜罐”。

即模擬各種常見(jiàn)的應(yīng)用服務(wù)，誘導(dǎo)攻擊者攻擊，

從而記錄攻擊者的入侵行為，獲取攻擊者的主機(jī)信息、瀏覽器信息、甚至是真實(shí) IP及社交信息。

2. 蜜罐溯源常見(jiàn)方式

常見(jiàn)兩種方式：

1、網(wǎng)站上插入特定的js文件（大多數(shù)）

2、網(wǎng)站上顯示需要下載某插件

3. 蜜罐分類

1、低交互蜜罐

2、中交互蜜罐

3、高交互蜜罐

二、蜜罐項(xiàng)目實(shí)戰(zhàn)

以下操作均在虛擬機(jī)

1. 配置DecoyMini

DecoyMini是一款智能仿真與攻擊誘捕工具

鏈接: DecoyMini百度網(wǎng)盤(pán)鏈接
提取碼：2ddy

1.1 命令行窗口運(yùn)行

進(jìn)入文件根目錄，輸入

DecoyMini_Windows_v2.0.6691.exe

默認(rèn)地址0000

1.2 修改配置信息

首先，我們要選擇http，輸入

h

回車

接下來(lái)設(shè)置端口為

7890

設(shè)置成功

查看端口，輸入

netstat -ano | findstr "7890"

端口7890已經(jīng)處于監(jiān)聽(tīng)狀態(tài)

2. 登錄DecoyMini

瀏覽器中打開(kāi)

127.0.0.1:7890

輸入默認(rèn)賬號(hào)密碼

admin
Admin@123

登錄成功

首先要仿真，模擬甲方的內(nèi)網(wǎng)系統(tǒng)

3. 克隆網(wǎng)站

比如說(shuō)我們找到一個(gè)這樣的網(wǎng)站

它的網(wǎng)址

14.29.190.82:9005

我們想要克隆一個(gè)和它一模一樣的網(wǎng)站（蜜罐）出來(lái)

首先需要用DecoyMini先仿造一個(gè)系統(tǒng)

3.1 增加仿真網(wǎng)站

我們進(jìn)入剛剛配置好的系統(tǒng)，點(diǎn)擊仿真，增加仿真網(wǎng)站

輸入模板ID和模板名稱，在網(wǎng)站地址中，我們將剛剛找到的網(wǎng)站地址粘貼過(guò)去

網(wǎng)站更新時(shí)間一般設(shè)置為7天

點(diǎn)擊增加，出現(xiàn)了剛剛部署的九芒星仿真網(wǎng)站

3.2 增加誘捕器

然后開(kāi)始誘捕，打開(kāi)誘捕-誘捕策略-增加誘捕器

模板使用剛剛的九芒星網(wǎng)站

外部訪問(wèn)IP設(shè)置為虛擬機(jī)的ip

協(xié)議設(shè)置為http，端口設(shè)置為8081

點(diǎn)擊確定

啟用成功后，選擇應(yīng)用

等待一會(huì)，蜜罐會(huì)自動(dòng)利用爬蟲(chóng)爬取原網(wǎng)站的樣式

復(fù)刻一個(gè)一模一樣的網(wǎng)站

3.3 查看端口監(jiān)聽(tīng)

查看8081端口啟用情況

netstat -ano | findstr "8081"

處于監(jiān)聽(tīng)狀態(tài)

因?yàn)镈ecoyMIni部署在虛擬機(jī)上，我們就假設(shè)物理機(jī)是攻擊者，開(kāi)始滲透剛剛制作好的蜜罐

在物理機(jī)中，對(duì)于兩個(gè)一模一樣的網(wǎng)站，很難分辨真假。

假設(shè)某環(huán)保局的審批業(yè)務(wù)在C段，那我們把蜜罐放到相應(yīng)的C段，很容易迷惑對(duì)方，進(jìn)行誤操作。

3.4 克隆成功（蜜罐）

我們?cè)谖锢頇C(jī)上的瀏覽器打開(kāi)該網(wǎng)址，用的就是剛剛配置的8081端口

192.168.149.129:8081

克隆成功

會(huì)發(fā)現(xiàn)和剛剛的網(wǎng)址不一樣

3.5 蜜罐誘捕

假設(shè)有人無(wú)意中打開(kāi)該虛假網(wǎng)址，并且輸入賬號(hào)密碼提交后

那么就會(huì)在蜜罐后臺(tái)的誘捕日志中看到誘捕的信息

可以看到攻擊者（受害者）的用戶信息

以及被攻擊者（蜜罐）的信息

以及誘捕日志詳情

以上操作，只是用戶無(wú)意中嘗試登錄，并無(wú)惡意，那接下來(lái)我們就用弱口令和SQL注入的方式來(lái)演示，黑客在攻擊該蜜罐的時(shí)候，會(huì)發(fā)生什么事

4. 蜜罐流量分析

4.1 弱口令攻擊網(wǎng)站

4.1.1 生成誘捕策略

我們先利用它自帶的模板生成一個(gè)策略

外部訪問(wèn)IP同樣是虛擬機(jī)IP地址

協(xié)議http，端口我們用8082

現(xiàn)在后臺(tái)就多了一個(gè)業(yè)務(wù)，名字為九芒星管理后臺(tái)

打開(kāi)burpsuite，用內(nèi)置瀏覽器打開(kāi)該網(wǎng)址

http://192.168.149.129:8082/#/

這就是模板中自帶的管理系統(tǒng)，我們拿它為例來(lái)測(cè)試黑客攻擊

4.1.2 開(kāi)啟BurpSuite攔截

先輸入賬號(hào)密碼，然后開(kāi)啟BurpSuite攔截

點(diǎn)擊登錄后，BurpSuite會(huì)攔截到剛剛輸入的用戶名和密碼

4.1.3 Intruder開(kāi)始攻擊

利用Intruder模塊對(duì)密碼進(jìn)行獲取

![在這里插入圖片描述

4.1.4 開(kāi)始攻擊

在payloads設(shè)置中加載一個(gè)密碼字典，開(kāi)始攻擊

密碼字典的話網(wǎng)上任意找一個(gè)即可，由于該網(wǎng)站是蜜罐，不存在拿到一個(gè)虛假網(wǎng)站的密碼一說(shuō)，故只是輔助參考

攻擊中

4.1.5 查看誘捕日志

然后在DecoyMini的誘捕日志中會(huì)看到剛剛的攻擊記錄

短短幾秒鐘發(fā)起了幾百條攻擊

點(diǎn)擊最右側(cè)，可以看到日志詳情

同樣可以看到攻擊者畫(huà)像

攻擊者特征

以及風(fēng)險(xiǎn)日志

還可以將攻擊者IP加入黑名單或白名單中

4.2 SQL注入攻擊網(wǎng)站

4.2.1 sqlmap安裝配置

（1）官網(wǎng)下載

打開(kāi)官網(wǎng)

http://sqlmap.org/

點(diǎn)擊右側(cè)圖標(biāo)下載壓縮包

把壓縮包解壓，重命名，放在安裝的Python根目錄下：

（2）安裝sqlmap

打開(kāi)sqlmap文件夾，地址欄輸入cmd命令行進(jìn)入sqlmap

sqlmap.py -h

出現(xiàn)幫助信息則安裝成功

4.2.2 抓取BurpSuite數(shù)據(jù)包

同樣先在克隆的系統(tǒng)（蜜罐）中輸入賬號(hào)密碼，然后開(kāi)啟攔截，點(diǎn)擊提交后，將生成的數(shù)據(jù)包復(fù)制

然后在sqlmap根目錄下新建test.txt文件，把密碼11111換成*

4.2.3 sqlmap攻擊

在根目錄下，cmd打開(kāi)窗口輸入

python .\sqlmap.py -r .\test.txt

此時(shí)已經(jīng)開(kāi)始攻擊

4.2.4 查看誘捕日志

我們?cè)谡T捕日志中可以看到攻擊信息

出現(xiàn)了數(shù)十條攻擊信息

可以看到攻擊者畫(huà)像，首次攻擊時(shí)間、最近攻擊時(shí)間、瀏覽器指紋以及攻擊的目標(biāo)都顯示在上面

三、DecoyMini介紹

它的全稱是智能仿真與攻擊誘捕工具

1. 背景

它是市場(chǎng)上諸多蜜罐安全產(chǎn)品的一種，蜜罐產(chǎn)品還有很多，比如
默安的幻盾、幻陣；360的蜃景；騰訊的御陣等等

由于蜜罐也是欺騙防御的一種，傳統(tǒng)的安全防御思路，是防守者需要充分全面的對(duì)網(wǎng)絡(luò)和系統(tǒng)的安全漏洞和風(fēng)險(xiǎn)進(jìn)行分析、評(píng)估和整改來(lái)確保整個(gè)網(wǎng)絡(luò)安全，但網(wǎng)絡(luò)攻擊面太多，導(dǎo)致很難發(fā)現(xiàn)所有的風(fēng)險(xiǎn)，故欺騙防御技術(shù)應(yīng)運(yùn)而生。

攻擊者很容易觸碰到安全人員設(shè)下的誘捕陷阱而導(dǎo)致暴露攻擊行為，通過(guò)蜜罐等欺騙技術(shù)可以有效改變攻防不對(duì)稱，變被動(dòng)為主動(dòng)，是對(duì)傳統(tǒng)防御的有力增強(qiáng)。

2. 應(yīng)用場(chǎng)景

DecoyMini 可以部署到不同的網(wǎng)絡(luò)環(huán)境里，提供多樣化的攻擊誘捕能力。

典型的應(yīng)用場(chǎng)景介紹如下：

2.1 互聯(lián)網(wǎng)攻擊誘捕分析

面對(duì)互聯(lián)網(wǎng)攻擊頻繁，各種高級(jí)、隱蔽的攻擊層出不窮；而用傳統(tǒng)安全設(shè)備很難有效防御，安全運(yùn)維人員應(yīng)付起來(lái)也是疲于奔命。

通過(guò)部署 DecoyMini，利用豐富多樣的仿真模板，部署典型的蜜罐映射到外網(wǎng)，提供常態(tài)化的外網(wǎng)攻擊感知能力；也可以利用自定義蜜罐能力，將個(gè)性化的蜜罐映射到外網(wǎng)，對(duì)互聯(lián)網(wǎng)上嘗試攻擊我方的攻擊源進(jìn)行誘捕和監(jiān)測(cè)；支持與網(wǎng)關(guān)設(shè)備聯(lián)動(dòng)來(lái)及時(shí)對(duì)外部攻擊進(jìn)行處置和阻斷，提升對(duì)外部攻擊的處置和響應(yīng)能力。

2.2 內(nèi)網(wǎng)橫向攻擊監(jiān)測(cè)預(yù)警

通常內(nèi)網(wǎng)的訪問(wèn)控制都不嚴(yán)格，攻擊橫向移動(dòng)比較容易；而內(nèi)網(wǎng)系統(tǒng)往往漏洞未能及時(shí)修補(bǔ)、弱口令威脅也相當(dāng)嚴(yán)峻，極易遭受惡意的攻擊。

通過(guò)部署 DecoyMini，在內(nèi)網(wǎng)部署一些常用的應(yīng)用、服務(wù)蜜罐，并開(kāi)啟網(wǎng)絡(luò)掃描、連接監(jiān)聽(tīng)等功能，就可以提供常態(tài)化的內(nèi)網(wǎng)橫向攻擊監(jiān)測(cè)感知能力，可以及時(shí)發(fā)現(xiàn)感染勒索、挖礦、蠕蟲(chóng)等病毒木馬的失陷主機(jī)，潛伏到內(nèi)網(wǎng)的攻擊者，以及內(nèi)部人員發(fā)起的各種攻擊行為。

2.3 網(wǎng)絡(luò)攻防對(duì)抗演習(xí)監(jiān)測(cè)

近幾年來(lái)攻防演習(xí)常態(tài)化進(jìn)行，在攻防演習(xí)中需要有手段能夠?qū)t隊(duì)的攻擊進(jìn)行監(jiān)測(cè)、對(duì)攻擊的進(jìn)展進(jìn)行跟蹤，同時(shí)對(duì)攻擊行為進(jìn)行溯源反制。

通過(guò)部署 DecoyMini，可以對(duì)紅隊(duì)的攻擊行為進(jìn)行監(jiān)測(cè)，支撐對(duì)攻擊套路進(jìn)行分析，用以指導(dǎo)藍(lán)隊(duì)制定更為有效的防御措施；同時(shí)，用蜜罐為載體構(gòu)造場(chǎng)景可以來(lái)投遞溯源、反制工具，實(shí)現(xiàn)對(duì)紅隊(duì)的溯源。結(jié)合攻擊的完整日志和攻擊者畫(huà)像，協(xié)助完整溯源攻擊鏈，獲得溯源得分。

3. 主要功能

3.1 監(jiān)控

監(jiān)控模塊又兩個(gè)，風(fēng)險(xiǎn)態(tài)勢(shì)和儀表板

（1）風(fēng)險(xiǎn)態(tài)勢(shì)

風(fēng)險(xiǎn)態(tài)勢(shì)可查看“攻擊類型”、“攻擊次數(shù)”、“被攻擊目標(biāo)”、“攻擊源分布”、“事件趨勢(shì)”、“最新事件”等分布圖

（2）儀表盤(pán)

儀表盤(pán)則是主要用于展示系統(tǒng)的關(guān)鍵指標(biāo)和數(shù)據(jù)，以圖表等可視化的形式來(lái)進(jìn)行展示

3.2 攻擊

其中又包含風(fēng)險(xiǎn)事件和誘捕日志

（1）風(fēng)險(xiǎn)事件

風(fēng)險(xiǎn)事件管理頁(yè)面展示系統(tǒng)產(chǎn)生的所有風(fēng)險(xiǎn)事件信息，按時(shí)間由近到遠(yuǎn)進(jìn)行展示，并提供對(duì)風(fēng)險(xiǎn)事件進(jìn)行快速查詢和分析的功能。

（2）誘捕日志

誘捕日志管理功能提供對(duì)攻擊者在誘捕器中所有操作行為：包括網(wǎng)絡(luò)操作、命令執(zhí)行、文件操作以及文件等數(shù)據(jù)進(jìn)行綜合瀏覽、查詢的功能。

3.3 誘捕

誘捕又分為誘捕策略、安全規(guī)則和攻擊特征三大塊

（1）誘捕策略

誘捕策略用于配置各誘捕探針需要執(zhí)行的誘捕策略。

（2）安全規(guī)則

安全規(guī)則用于配置系統(tǒng)安全監(jiān)測(cè)規(guī)則，包括威脅情報(bào)配置和黑白名單配置等。

（3）攻擊特征

攻擊特征則是借助檢測(cè)規(guī)則，對(duì)攻擊的類型、級(jí)別、信息進(jìn)行歸納總結(jié)

3.4 仿真

仿真又分為仿真模板、增加仿真網(wǎng)站和增加仿真主機(jī)三塊

（1）仿真模板

仿真模板提供對(duì)系統(tǒng)各仿真能力進(jìn)行配置管理的功能，通過(guò)仿真模板可以快速、靈活自定義仿真內(nèi)容。

（2）增加仿真網(wǎng)站

仿真網(wǎng)站則是可以自定義的添加網(wǎng)站配置信息

（3）增加仿真主機(jī)

仿真主機(jī)同樣可以添加一臺(tái)主機(jī)，模擬目標(biāo)主機(jī)

3.5 處置

處置分為預(yù)警通知和內(nèi)生情報(bào)兩塊

（1）預(yù)警通知

預(yù)警通知可以自定義添加報(bào)警規(guī)則，滿足條件則發(fā)出預(yù)警

（2）內(nèi)生情報(bào)

內(nèi)生情報(bào)可以選擇周期和數(shù)量限制，來(lái)對(duì)不同情報(bào)格式就行利用

3.6 節(jié)點(diǎn)

節(jié)點(diǎn)分為節(jié)點(diǎn)管理和節(jié)點(diǎn)分組

（1）節(jié)點(diǎn)管理

節(jié)點(diǎn)管理主要包含節(jié)點(diǎn)信息查看、節(jié)點(diǎn)信息修改、節(jié)點(diǎn)策略運(yùn)行情況查看等功能。

（2）節(jié)點(diǎn)分組

節(jié)點(diǎn)分組可以針對(duì)不同類型進(jìn)行分組，方便管理

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-603359.html

到了這里，關(guān)于【網(wǎng)絡(luò)安全】蜜罐部署實(shí)戰(zhàn)&DecoyMini攻擊誘捕的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！