什么是蜜罐

蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。
还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

常见蜜罐使用类型和场景

溯源蜜罐

web蜜罐-jsonp

获取社交网站ID、手机号…（大部分蜜罐都是获取BaiduID）

mysql蜜罐-load data local infile

读取本机文件获取相关信息(电脑用户名、chrome保存密码、chrome收藏夹.chrome历史记录、Xshell账密、Crt账密、finalshell账密、MobXterm账密…)

溯源思路

溯源原则

证明所有已发现的社交信息是互相关联的，且证明所有获得的信息都是出自同一个攻击者。该原则在确定攻击者身份的过程中非常重要。

IP溯源

IP地址定位

使用IPUU可以查询IP地址的归属地，查询结果中会显示IP地址所属的国家、省份、城市和运营商等信息。(准确率不高)

IP反查域名

使用iP地址查询 (ip138.com)或者https://dns.aizhan.com/可以反查域名，可以根据查询到的域名进行更深入的溯源，如果域名为攻击者个人技术博客，则可以进一步查询博客网站的ICP备案信息，同时在博客中检索是否包含相关联系方式。

域名WHOIS查询

使用站长工具_whois查询工具_爱站网 (aizhan.com)查询&微步在线-数字时代网络威胁应对专家 (threatbook.cn)可以查询域名的注册信息，查询结果中会显示域名的注册者、注册时间、到期时间等信息。

IP反制

对恶意IP进行渗透，拿取权限后再检索恶意主机上是否留存相关信息，再以收集到的信息进一步渗透。

社交溯源

1.百度找回密码模块佐证手机号与百度ID的关联性
2.钉钉搜索手机号佐证手机号与姓名的关联性
3.支付宝手机号转账确认相关手机与姓名的关联性
4.支付宝找回账号确认姓名与身份证的关联性
5.QQ账号找回密码可以看到部分手机号码

防止蜜罐捕捉思路

1.浏览器插件

蜜罐溯源这部分用到的技术主要是jsonp

jsonp全称是 JSON with Padding ，是基于 JSON 格式的为解决跨域请求资源而产生的解决方案。
如果某些站点存在jsonp劫持漏洞，加入这个站点有个jsonp接口暴露者，功能就是返回用户的姓名：

插件地址：https://github.com/jayus0821/Armor

2.渗透环境

准备虚拟机环境，日常工作时全部操作均在虚拟机中完成
渗透环境、开发环境、调试环境需要分开，从目标服务器上下载的程序需要在单独的环境中测试运行
渗透虚拟机中全程使用代理IP上网，可以使用小飞机结合代理池做负载或者用专业的代理软件
物理机必须安装安全防护软件，并安装最新补丁，卸载与公司相关的特定软件，办公电脑尽量不存储个人文件
fofa、cmd5、seebug、天眼查等第三方工具平台帐号密码不得与公司有关，云协作平台同理
RAT使用CDN保护的域名上线，域名申请国外的匿名域名确保使用whois查不到个人关联性
尽量不使用公司网络出口，可以使用移动4G网卡，然后虚拟机再连代理
项目结束之后，虚拟机恢复快照，并且不再复测之前的目标或之前未成功利用的漏洞
工作记录使用加密记录软件或者放在加密文件夹，不将敏感的文件放在桌面，不使用在线文档，本地word等
虚拟机中不登陆个人帐号，如QQ、微信、网盘、CSDN等
添加账号名称应符合已有账号规则，尽量不要与个人公司有关

3.工具环境

WebShell不能使用普通一句话木马，连接端使用加密流量，建议使用蚁剑，冰蝎需要二开
内网渗透时使用socks代理，尽量压缩加密流量
上传程序到目标服务器时，需要修改文件名：如svchost等，尽量不上传内部自研工具
公开工具需要去除特征指纹，如：sqlmap、masscan、Beacon证书
工具需要设置线程或访问频率，如sqlmap的–delay、内网扫描时线程不大于5
Cobalt Strike后门上线后，权限维持时设置time.sleep大于500秒
手机短信验证码需使用在线平台，临时邮件接收使用临时邮箱
禁止在C2服务器上开启web服务，特别是注意不要为了方便在/home目录下开
小范围流传的工具建议各大微信群公开，以免被人上传后被意外溯源，藏木于林
木马编译环境中用户名使用administrator，禁止使用自己的ID
自建dnslog平台的whois信息需要隐藏
自研扫描器不要带有特征，特别是XX自研、XX内部专用
及时关闭漏洞测试环境，文件包含或远程调用操作结束后及时关闭开启服务