其他分享
首页 > 其他分享> > 关于一些普通反制方式的分析与补充

关于一些普通反制方式的分析与补充

作者:互联网

1. RDPInception反制远程桌面攻击(可尝试)

这个利用的大概流程是这样的:

A机器:未控制,目标机器。

B机器:已控制,开放3389连接。

目标:希望通过A连接B的3389端口对其实施控制。

步骤:

1.A客户端RDP连接B时共享本地资源C盘给B。

2.B将恶意脚本复制到A的开机启动项文件夹下

3.A重启后即可上线

一般情况下没有人会共享自己的C盘,所以此种反制方法没有配置必要,实现条件太过苛刻。

参考脚本:https://github.com/mdsecactivebreach/RDPInception/

2. 恶意Mysql蜜罐-读取微信二维码(不推荐)

针对windows机器的反制,可以读取链接此蜜罐的windows机器上登录过的微信号的二维码。

条件是:攻击者必须使用navicat尝试连接“数据库”时候,攻击者的微信就有可能被蜜罐捕获到。

不推荐布置,不过内网的数据库外网一般是无法直接访问的,攻击者肯定先得拿到一台内网机器架设代理才能对内网应用进行探测,而通过这种方式反制是无法直接反制攻击者而是会反制到代理服务器。

蜜罐地址:https://github.com/heikanet/MysqlHoneypot

参考文章:

https://mp.weixin.qq.com/s/hoYb6MxS8dz6eDyOEB4ZiA

https://juejin.cn/post/6914982828958875655#heading-9

3. 目录穿越CVE­2018­20250反制(不推荐)

在这里插入图片描述

环境过于苛刻,没有实现必要。

https://github.com/WyAtu/CVE-2018-20250

4. AWVS反制(可尝试)

https://github.com/dzonerzy/acunetix_0day

防守方可以提前部署好带RCE的页面到网站中,如果攻击者使用的是AWVS 10版本对网站扫描,就会触发RCE,实现反向控制。

5. 反制Cobalt Strike-密码爆破(不推荐)

约等于爆破ssh账号,成功与否取决于密码本。

6. Cobalt Strike-信息干扰 假上线(不推荐)

实现成本太高,需要确定心跳包的格式才能模拟上线。

7. 公网投放诱饵(不推荐)

诱饵只能放在内网,否则有法律风险。

8. OpenVpn配置文件反制(可尝试)

可以先做一个蜜罐机器,且这个ip可以被攻击者访问到,在蜜罐上面配置好openvpn服务,把这个openvpn配置文件泄露在web目录中,很容易被猜解到就行,当攻击者下载openvpn配置文件到本地进行sudo openvpn example.ovpn后,就会执行我们事先写入的反弹shell的命令,实现反向控制。

9. 剪切板劫持(不推荐)

攻击者发现了目标的远程桌面账号和密码,会尝试去连接,在连接后,如果把远程文件复制到本地,由于mstsc存在CVE-2019-0887剪切板劫持漏洞,在复制到本地的同时还会把预先准备好的恶意文件带入开机自启目录,植入恶意程序,实现反向控制。

早已被修复。

EXP :https://github.com/t43Wiu6/CVE-2019-0887

原理:https://paper.seebug.org/1074/

标签:github,蜜罐,补充,普通,反制,https,攻击者,com
来源: https://blog.csdn.net/qq_41874930/article/details/115350763