老狗遭遇HTW服务器的蜜罐防御,通过自创的蜜罐识别技术发现了多个伪装端口。为了突破防线,他计划开发新的shellcode利用ping数据包唤醒后门。
老狗从床上弹了起来,顾不上洗脸刷牙直接飞奔到电脑旁边踢了一脚开关。电脑似乎也心领神会似的飞速的启动着系统,但是老狗仍然觉得电脑开的太慢了!
“快点!妈的这么慢,小心老子明天给你开刀!”
系统终于起来了!老狗立马换了一个IP,并且重新对HTW的服务器进行了扫描,他发现那些端口仍然开着,于是老狗更换了扫描器的参数又扫描了一次。。。。。。
这个扫描器是老狗用开源软件NMAP修改出来的,他为这款软件加入了一些特殊的功能,其中的一个功能是专门为入侵设计的,叫做“蜜罐识别”!
扫描器似乎已经出现了新的结果,老狗喘着大气,眼珠不转的盯着屏幕上的几行字:
“port22------mybeaHoneypot!”
“port23------mybeaHoneypot!”
“port25------mybeaHoneypot!”
“port80------Itisreal!”
“port110------mybeaHoneypot!”
“port12345------unknown!”
“port53356------unknown!”
“他妈的!老子被骗了!!!”
老狗此时终于明白了,HTW服务器开着的端口大多数其实都是“蜜罐”!
蜜罐这个东西被发明出来后,确实让黑客们吃了不少苦头!那么蜜罐到底是个什么东西呢?蜜罐其实是一个概念,我们不能把它理解为某种实物,它可以是一个程序,也可以是一台机器,甚至有可能是一个人!!蜜罐的用途跟它字面上的意思很接近,就是为了勾引黑客这头“大黑熊”的,黑客一旦被蜜罐吸引住,就会把精力都用在蜜罐上而忽略了真实的入侵目标。蜜罐还有一个更厉害的地方就是,它不但能吸引黑客的注意力,而且会记录黑客的各种行为!抓住黑客的踪迹!
从老狗的扫描器返回结果来看,22、23、25、110这4个端口都有可能是蜜罐!
HTW服务器上的蜜罐属于伪装型蜜罐,这个蜜罐平时会开一些端口来迷惑入侵者,让入侵者误以为服务器上开了很多服务,假如黑客受骗,针对这些端口展开入侵行动,蜜罐就会把对应端口的往来数据全部记录下来,方便服务器管理员分析和追踪黑客。
老狗正是受到了蜜罐系统的欺骗,而使得他与HTW的第一次交锋失败!但这蜜罐也有弱点,一般的伪装型蜜罐并不会在端口上开着真实的服务程序,这个端口只是记录来往的数据而已,假如黑客尝试传送一些高级的服务器命令给蜜罐,那么蜜罐一般来说是无法给予黑客恰当的回应的,也就是说,黑客可以依据这点来识别蜜罐系统!
老狗正是利用了这个弱点给他的扫描器开发了“蜜罐识别”这项功能!据说,老狗在开发完“蜜罐识别”后,在这里是第一次发挥了威力!看样子效果还是非常不错的!
“哎!真是不能大意啊!要是早早的用上就不会有问题了!”老狗在看清楚了状况之后,一边摇头一边发表着感慨。
那么现在局势已经很清晰了,老狗的shellcode中包含添加用户和开SSH服务两个功能,现在已经确定这台服务器上并不存在真实的ssh功能,因为22端口实际上是个蜜罐,而且老狗的exploit程序很有可能已经成功的执行了!只是因为蜜罐的原因,他无法依靠ssh来控制这台服务器!所以,他需要修改exploit程序,并且重新写一个shellcode了!
他这次决定给shellcode加入一种“ping数据包唤醒”后门!
这其实是他早期自创的一种技术,他原本并不打算在这次入侵中使用,但是看到HTW组织中确实高手林立,而且对于服务器的防护能完备到如此程度!所以他也不得不使出自己的绝技了!
(未完待续。。。。。。)
扫一扫
10-26
2781
2781
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
