当前位置：网站首页>6K6w5LiA5qyh5pS75Ye75YiG5p6Q

6K6w5LiA5qyh5pS75Ye75YiG5p6Q

2022-07-28 20:46:00 【sec0nd_】

为了帮助大家理解掌握知识，幻想的公司和黑客，以下故事均为虚构，如有雷同，纯属巧合。

某天我在办公室摸鱼，突然发现蜜罐平台有一条扫描感知信息（192.168.10.78主机扫描同网段其他主机），我心里一惊，正常人都不会知道蜜罐的地址，更不会扫描蜜罐的端口。

跟师傅说后越发越觉得不对劲，马上将192.168.10.78主机进行了下线隔离，然后起身跟大师傅去看这个机子的日志记录。

找到的日志记录大致如下：
在这里插入图片描述
nginx的日志格式见这位大师傅的文章：https://blog.csdn.net/LJFPHP/article/details/78484889

大致可以读出以下信息：
客户端ip：192.168.10.5
请求方式：GET
请求路径：/xxx/xxxxxxxx?
返回码：200
返回包字节：23143
X_Forwarded-For IP 地址：1.2.3.4
这个地址猜测是黑客真实ip

看到客户ip是192.168.10.5，猜测这个是一台反向代理，黑客打了反向代理的机子，被反向代理映射到了192.168.10.78的机子上。

然后去waf上面查询了192.168.10.5的被攻击的记录，下面比如是一个waf界面(虚构)，大概有两千多条记录，各种攻击方法都尝试了……

攻击者ip也确实为1.2.3.4

黑客发现了公司的一个对外服务网站，对其进行测试，尝试了2k次之后根据某一篇漏洞复现文章打进来了，达到了内网的192.168.10.78的机子上，然后提权、内网横移、域控

可惜在内网横移的过程中不小心扫到了蜜罐，导致被发现

版权声明
本文为[sec0nd_]所创，转载请带上原文链接，感谢
https://blog.csdn.net/weixin_52444045/article/details/126033701