它的战斗力有多强利用蜜罐反制蓝队

本文主要介绍关于蜜罐,蓝队,攻防的知识点，对【利用蜜罐反制蓝队】和【它的战斗力有多强】有兴趣的朋友可以看下由【Sumarua】投稿的技术文章，希望该技术和经验能帮到你解决你所遇的应急响应相关技术问题。

它的战斗力有多强

第一天分配了目标和任务，登录攻击机，脚本自动收集信息，子域名、解析IP、github、信箱哗啦哗啦都出来了，注意到有个叫oldoa.xxx-inc.com的子域名，指向阿里云的ip，心头一喜，先拿这个入手，nmap一把梭，发现开了22、443、3306等常用端口。443的确是一个OA系统，前端代码看不出是什么框架，估计是是定做的，窃喜，这种系统漏洞一般比较多。22端口小小的爆破下，很快就找到有个低权限弱密码，ssh可以登录，但是发现shell怪怪的，各种不正常，

心里一沉，要完蛋， 踩坑了，不会是蜜罐吧……

全端口扫描发现目标还开了个tcp 4433的端口是个httpd服务，用浏览器打开直接弹出hfish的大logo……当时就震惊了，这个蜜罐开源的，之前还用过，特征也收录了啊，百度下才发现新版变化很大，下载安装了，当时心情很糟糕，正好到点吃饭了，叹了口气锁屏走人。下午回来居然发现蜜罐有很多告警，仔细看了下hfish抓到的请求痕迹，发现一个ip在各种漏扫，无聊的往前翻着，重点来了，发现最开始几个http请求的refer居然是splunk.xxxx-inc.com

有点懵，定了定神，大概明白了，

我上午踩了目标的蜜罐，告警肯定被汇集到目标的soc平台上，就是这个splunk.xxxx-inc.com（这个域名被解析到一个内网IP），然后目标蓝队的人肯定是在splunk上直接点超链跳过来了，正常情况我这台攻击机没开任何端口，但我上午在攻击机上装了他们用的hfish在分析……阴差阳错，之后对方蓝队开始对攻击来源（就是我攻击机）进行了漏扫试图反制，这个ip应该是他们办公网出口，所以，目标的蓝队正在漏扫我和/他们同时在用的蜜罐！哭笑不得，kill了蜜罐进程，就把这个事扔脑后了。
晚上王者超神突然灵光一闪，我可以预判蓝队的预判啊！！
hfish的文档提到可以做自定义蜜罐，可惜做了一个上传不起作用，不过发现这个蜜罐结构很简单，web蜜罐的静态页面直接放到对应目录下就行了，精心做了老版本的splunk登录界面，用JS做了一个登录失败消息，提示必须使用ldap账号，从目标官网上抠个logo换上，自己访问下效果还可以，挺唬人的。

第二天换了台攻击机，在上面先部署好hfish，上传昨晚做好的splunk登录界面，限制4433端口仅允许我访问，更换了默认的ssl证书，然后写个shell循环以固定频率请求昨天踩坑的蜜罐域名oldoa.xxx-inc.com上一个看似正常的api接口地址，果然没多久对方就开始扫我的hfish，一会就发现了我做的splunk登陆页面，乱输了两个账号密码，然后明显停顿了一下，输了两遍一个叫haoz** g***的账密！！！

思路决定出路啊同志们！

本文《利用蜜罐反制蓝队》版权归Sumarua所有，引用利用蜜罐反制蓝队需遵循CC 4.0 BY-SA版权协议。