利用hfish反控境外攻击源主机

news2024/11/15 4:59:33

导师给了7个网络安全课题选题,本想和他聊了下思路,他一挥手让我先做出点东西再来聊就把我打发走了……

正好前段时间阿里云到校做推广,用优惠卷薅了一台云服务器,装了hfish先看下情况

没想到才装上没两天数据库就爆了,跑到客服群里问,换mysql+关扫描感知,一通操作性能好多了

稳定下来又观察了一个月,发现针对SSH的爆破攻击最多,发现有两个可以深入的点:

1)使用ssh云端高交互蜜罐可以抓到攻击者的操作,比如上传后门木马文件,下载之后还能放到沙箱看看具体的等级、威胁情况、C2地址等,是一种稳定的情报生产方式,用perl可以加到院里防火墙做提前拦截/阻断;

2)ssh低交互蜜罐会存储大量攻击爆破hfish的密码表,即可形成爆破字典,借此可反扫描攻击来源IP从而反控攻击来源主机!具体原因是,经过分析,蜜罐抓到的很多都是被自动化蠕虫感染的僵尸主机,这些主机之所以被感染是因为存在弱密码,正常主机被蠕虫感染后就会进行相同的恶意行为,所以同理可证,我们用同样的攻击工具和密码本反破解僵尸主机,有大概率能控制它们。

第一个点子让大飞哥帮我写了个脚本,他们公司也用这个蜜罐,第二个需要自己动手

密码表

先通过web界面导出收集的账号密码,

1649768095_6255769f35a1a79437c79.png!small

导出后有3万7条

1649768101_625576a564777a951dad3.png!small

一个有趣的地方,有小白黑客搞错了参数,将爆破的账号密码参数都搞反了,手动修正后去重剩34000

求大飞哥把他们公司装在云上的N个hfish蜜罐收集到的账号密码也导给我了,修正,然后再和34000的合并去重后有了一个九万条的密码表!

扫描地址

这里有点麻烦,先在linux上安装个jq程序,

yum install jq

hfish提供了一个api可以拿攻击来源ip,不过hfish吐出来的是一个大json,用jq程序,我们将其中ip地址取出来,

经过反复测试,执行如下命令最终可以得到一个ip一行的大txt文件,

curl -k -X POST “https://我的蜜罐地址:4433/api/v1/attack/ip?api_key=不告诉你” -d
‘{“start_time”: 0,“end_time”: 0,“intranet”: 0}’ | jq “.data .attack_ip”[] |
sed s/"//g

1649768109_625576ada972eca9d00e1.png!small

最后是激动人心的时刻,我做了一个计划任务,每天从hfsih api接口取前一天的攻击来源地址。

用从github上下载的hydra加载9万个密码表暴力破解,运气好的话每天可以反向控制150台左右的境外ip,有时候运气不好只有40几台,为避免法律风险,这里就不贴图了。

经过抽样分析,大部分主机已经被蠕虫反复感染,

进一步执行netstat -ant 和查看ssh登录记录得到更多攻击来源地址,

再用perl做一个脚本生成csv文件,导入到nrd中生成关系图,不知道为什么nrd老崩溃,但数据已经到手了,可以找导师去了!

生成csv文件,导入到nrd中生成关系图,不知道为什么nrd老崩溃,但数据已经到手了,可以找导师去了!

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/854476.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

CDN安全面临的问题及防御架构

CDN安全 SQL注入攻击(各开发小组针对密码和权限的管理,和云安全部门的漏洞扫描和渗透测试) Web Server的安全(运营商和云安全部门或者漏洞纰漏第三方定期发布漏洞报告修复,例如:nginx版本号和nginx resol…

MuMu模拟器运行一段时间后Device.Present耗时突然上升

1)MuMu模拟器运行一段时间后Device.Present耗时突然上升 2)​如何在运行过程中获得温度信息 3)Input System鼠标更换主按键的Bug 4)如何禁止Unity向https://config.uca.cloud.unity3d.com发送设备信息 这是第347篇UWA技术知识分享…

手把手写教学C#写一个串口接收助手

C#上位机 文章目录 C#上位机[TOC](文章目录) C#一个简单串口助手创建工程:一、控件的设置1.显示TextBOX2.选项框comboBOX3.标签label4.按键button 二、组件的设置1.添加定时器time组件2.添加串口组件serialPort 三、代码部分总结 C#一个简单串口助手 实现简单的串口…

12_Vue3中的其它变化

1. 全局 API 的转移 2.其它改变

SpringBoot整合Mybatis(开启驼峰映射、分页)

目录 Mybatis的简单使用 依赖 项目结构 父pom文件 pom文件 配置文件 实体类 controller mapper xml 结果 mybatis开启驼峰映射 方式一: 方式二: 方式三: 方式四: MyBatis结合PageHelper进行分页 父pom文件 pom文…

Linux命令200例:df用于显示文件系统的磁盘空间使用情况

🏆作者简介,黑夜开发者,全栈领域新星创作者✌。CSDN专家博主,阿里云社区专家博主,2023年6月csdn上海赛道top4。 🏆数年电商行业从业经验,历任核心研发工程师,项目技术负责人。 &…

发现 SaaS 专业服务的潜力,实现优质的客户支持

您正拥有优秀的产品或服务、引人注目的网站和不断增长的客户群,一切都很顺利,但有一件事让您夜不能寐:客户支持!您想为客户提供一流的服务,但您发现教整个团队怎样以让每个客户都满意的方式处理客户查询,还…

分享一个RS触发器的趣味介绍

这段时间看到一个对触发器比较有意思的介绍,记录一下 他是用两个或非门和一个灯泡进行举例的,如下图 初始状态下,灯泡熄灭,且两个开关都属于断开状态 先将蓝色或非门的开关闭合,红色或非门开关继续保持断开&#xff…

prometheus部署

一、前言 Prometheus 是一个开源的系统监控和警报工具,用于收集、存储和查询时间序列数据。它旨在提供高效的多维数据收集和查询功能,帮助用户监控其应用程序和基础设施的性能,并在出现问题时触发警报,总来得说prometheus是用来收…

用3dmax制作软包床模型的方法

3dmax是最常用的三维动画制作软件之一,通过建模、添加材质,贴图、渲染等流程,才能制作出一张逼真的图。所以想学3dmax的话,还是要找一些专业的教程,学习起来才能事半功倍。 用3dmax制作软包床模型的方法 软包床是能够…

【从零开始学习JAVA | 第四十三篇】UDP的三种通信方式

目录 前言: UDP三种通信方式: 单播: 组播: 广播: 三种通信方式的应用场景: 总结: 前言: 在我们初学网络编程的时候,我们就介绍过两个极其重要的协议&#xff0…

Python之特殊属性、对象的浅拷贝和深拷贝

一、特殊属性 Python对象中包含了很多双下划线开始和结束的属性,这些是特殊属性,有特殊用法。这里我们列出常见的特殊属性: 特殊属性含义obj.__dict__对象的属性字典obj.__class__对象所属的类class.__bases__表示类的父类(多继承时&#x…

solidworks(2)

记得选择双向

【100天精通python】Day26:文件和IO操作_文件指针的定位与移动,序列化与反序列化

目录 专栏导读 1 文件的基本操作 1.1 参考 1.2 获取文件属性: 2 定位和移动文件指针 3 序列化和反序列化 3.1 序列化与反序列化概述 3.2JSON序列化与反序列化 JSON序列化: JSON反序列化: 3.3 pickle 序列化与反序列化 pickle 序列…

CTF REVERSE练习之病毒分析

首先介绍两个知识点,在后面的实验中运用到的。 1、7Zip 7-Zip 是一款开源软件。我们可以在任何一台计算机上使用 7-Zip ,包括用在商业用途的计算机。7-Zip 适用于 Windows 7 / Vista / XP / 2008 / 2003 / 2000 / NT / ME / 98。并且有面向 Mac OS X、…

开发中常用的数据库日志都长啥样呢?

目录 常见日志级别 数据库日志 Undo log 逻辑日志 redolog binlog 慢查询日志 AOF 文本文件 RDB 二进制文件 常见日志级别 DEBUG:用于详细记录应用程序的运行过程,如变量值、执行流程等。DEBUG级别的日志通常用于开发和调试过程中,以…

不看后悔一辈子!不看错过50K!历尽心血总结Redis全局命令

前言: 📕作者简介:热爱编程的敖云岚,致力于C、Java、Python等多编程语言,热爱编程和长板的运动少年! 📘相关专栏:Java基础语法,JavaEE初阶,数据库&#xff0c…

【Python】单元测试框架unitest及其高级应用

目录 Unittest 简单使用示例 重要概念 断言方法 深入 高级应用 认识Page Object 资料获取方法 Unittest Unittest是python的一个单元测试框架,但是它不仅适用于单元测试,还适用自动化测试用例的开发与执行。我们可以很方便的使用它组织执行测试用…

JVM垃圾回收篇-垃圾回收算法

JVM垃圾回收篇-垃圾回收算法 标记清除(Mark Sweep) 概念 collector指的就是垃圾收集器。 mutator是指除了垃圾收集器之外的部分,比如说我们的应用程序本身。 mutator的职责一般是NEW(分配内存)、READ(从内存中读取内容)、WRITE(将内容写入内…