一、前言初次接触反制技术，写一个文档作为记录。二、反制中常见技术点1.蜜罐蜜罐可以理解成互联网上的一台主机，

 

一、前言初次接触反制技术，写一个文档作为记录。二、反制中常见技术点

1.蜜罐蜜罐可以理解成互联网上的一台主机，它的作用是诱骗攻击者去对自己进行攻击，然后记录攻击者的攻击细节并生成对应的攻击者画像，是当前的一种比较主流的入侵检测系统也是一种主动防御系统1.1 放置高交互蜜罐。

放置高交互蜜罐，例如一个邮箱服务类型的蜜罐，攻击者有可能会进行邮箱注册，这样子攻击者就主动向我们留下了自己的身份信息1.2 放置多个容易被发现的蜜罐放置多个攻击者可以轻而易举发现的蜜罐，攻击者就会知道自己所在的环境是被蜜罐所包围的，有可能就会放弃进行大范围攻击，变相保护了蜜罐背后的真实核心系统。

1.3 在蜜罐中使用JSONP探针蜜罐中设置一个网页，网页中写入指定的代码当攻击者访问指定网页的时候，就会窃取攻击者的cookie并上传到服务器上，被窃取的cookie是可以被指定的，例如可以窃取攻击者登陆百度的cookie，登陆豆瓣的cookie等，可以通过此来得到攻击者画像，获取黑客的ip地址，分别通过webrtc与淘宝接口。

但是在最新版的浏览器中，webrtc因为隐私问题，已经被浏览器禁止通过该接口获取用户ip淘宝接口从浏览器端调用该接口的话，获取的ip准确度较高条件：攻击者登陆过社交媒体并且未退出账号拥有相关媒体的jsonp接口

参考文章：利用社交账号精准溯源的蜜罐技术利用webrtc获取真实ipJSONP探针1.4 蜜罐挂马留几个文件下载链接，例如vpn客户端，并对正常程序进行木马植入或者制作恶意的excel文档诱导其进行下载。

蜜罐中放置恶意安装包,参考文章DLL劫持+重新制作安装包在钓鱼与反钓鱼的利用2.信息干扰红队攻击前都会进行信息收集，一般都是通过天眼查，github，gitlab等，我们可以在github上放置恶意exp或者无效等源代码，可以拖延红队的攻击实现，甚至实现反制(如果红队运行了我们的恶意exp的话)，然后通过网络故意透露我们的蜜罐信息，诱导红队去攻击蜜罐，进而得到黑客画像。

3.反击思路3.1 反制钓鱼页面直接对钓鱼页面进行web渗透攻击，尝试直接控制攻防演戏开始前期，红队成员肯定会用许多肉鸡去对目标资产进行批量漏洞扫描，或者自己使用肉鸡生成钓鱼页面等，这些肉鸡基本都含有漏洞，这时候去反击成功率会比较高。

3.2 反制钓鱼邮件对附件进行逆向分析，得到C2地址，然后对目标ip进行渗透攻击通过邮箱求手机号码可见：已知邮箱，求手机号码?有一个网站可以查询利用目标邮箱注册过的网站：查找邮箱注册过的网站发现钓鱼邮件后，将钓鱼邮件放在我们提前配置好的蜜罐中执行，在蜜罐中放上恶意的加入木马的vpn安装包与密码本，等待攻击者下载并连接。

3.3 反制攻击工具倘若对方使用带有漏洞版本的攻击工具例如蚁剑、AWVS等，这时候可以使用RCE攻击对其进行反控，高版本蚁剑上此漏洞已经被修复已知有漏洞的工具版本：蚁剑 <=2.0.7暂无直接可用exp。

awvs 10直接利用exp，等待对方扫描自己，即刻上线exp下载地址：https://github.com/dzonerzy/acunetix_0day也可以利用CSRF漏洞去反击参考文章：论如何反击用AWVS的黑客。

如何优雅的反击扫描你网站的黑客cs 3.5只有3.5及以下版本可能被利用，且无直接可用exp，参考文章Cobalt Strike team服务被爆RCE漏洞，尽快升级最新版!sqlmap构造特殊的get或者post注入点来等待攻击者使用sqlmap扫描，例如下图，将get请求中的一个参数的值设置为`ls`l,倘若直接改成反弹shell的代码即可反控对方机器。

post方式的利用：页面代码: A sqlmap honeypot demosearch the user

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186