Приветствую всех, продавцы доступов не редко продают Honeypot вместо реальной сетки
Каким образом можно определить что перед мной Honeypot?
Каким образом можно определить что перед мной Honeypot?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как определить Honeypot?
- Автор темы Pass
- Дата начала
---юзайте oneforall (https://github.com/shmilylty/OneForAll) - по именнам доменн-ов
---логи винды (https://www.windows-commandline.com/event-viewer-command-line/)
We can open event viewer console from command prompt or from Run window by running the command eventvwr. To retrieve the events information from log files in command line we can use eventquery.vbs. This file can be found in the directory C:\Windows\System32.
Using eventquery.vbs we can dump the events selectively based on various parameters. These parameters include event source, event id, event date, event type(information, error , warning), event log file name(system, application, security, IE etc). Below are few examples on how to use this script file.
---curl внутри сети
видишь ты SAP или че там с80 портом
powershell iwr -useb http://хуяк
если нихуя - фейкнет
если ссл-сертификаты ебут мозги то же самое
---ipconfig
---днс посмотри
ДШСП проврь
Managing DHCP from a Command Line
Windows Server 2003 includes the Netshell (Netsh) command-line environment, which provides an interface from which you can manage many functions and features of your server. The Netsh commands for DHCP make up a fully equivalent alternative to console- based management.
C:\>netsh
netsh>dhcp
netsh dhcp>
---netstat -ant (NETSTAT - статистика активных подключений TCP )
netstat [-a] [-e] [-n] [-o] [-p протокол] [-r] [-s] [интервал], где
Для отображения справки по команде введите в командной строке netstat /?;
Для вывода статистики Ethernet и статистики по всем протоколам введите следующую команду: netstat -e -s;
Для вывода статистики только по протоколам TCP и UDP введите следующую команду: netstat -s -p tcp udp;
Для вывода активных подключений TCP и кодов процессов каждые 5 секунд введите следующую команду: netstat -o 5.
---посомтри процессы - wmic process list - или еще как
---snmp - Simple Network Management Protocol (SNMP) используется для мониторинга, оповещения о событиях и управления устройствами в сети. его чекай
---Снимаем дамп сетевого трафика стандартными средствами windows
старт снятия дампа трафика: netsh trace start persistent=yes capture=yes tracefile=c:\trace\trace.etl IPv4.Address=192.168.0.5 Protocol=(TCP,UDP) maxSize=500
останов снятия дампа трафика: netsh trace stop
Использованы опции:
maxSize - Максимальный размер файла трассировки. "0" - без ограничения, по умолчанию 0.
persistent - Продолжит ли работать команда после рестарта компьютера до “Netsh trace stop”, по умолчанию no
traceFile - Местоположение файлв трассировки. Путь и имя файла по умолчанию: “traceFile=%LOCALAPPDATA%\Temp\NetTraces\NetTrace.etl”
capture - Необходим ли захват пакетов в дополнение к трассировке событий. По умолчанию нет.
Файл etl можем просмотреть в Microsoft Message Analyzer (там же можно сконвертировать в cap для просмотра в wireshark)
выкачивай дамп и чекай)---tcpview(зачастую есть на ДК у ДА)
TCPView — это небольшая бесплатная утилита для операционных систем Microsoft Windows, разработанная Sysinternals, не требующая установки, которая показывает детальный список всех процессов TCP, UDP и TCPV6 интернет-соединений, а также удалённые адреса, с которыми были установлены соединения.
---dir C:\Windows посмотри там например
у тебя новые КБ
а эксплорер.ехе 2016 года
то же маркер ханиппот\фэйкнет
---C:\ProgramData чтобы там не было Десктоп МайДокументс и прочей перхоти
глянь теже логи шоколадки че ставили когда
из сети проверь там например
iwr -useb https://любой
получишь если проблему с ссл
стопудов фейкнет
гейтвей проверь наконей
это странно когда гейт или днс не *.*.*.1
такое бывет 1/1000000000000
powershell cat 'C:\Windows\System32\drivers\etc\hosts'
да и вообще папку эту. ну хостс достаточно уже будет
Смотришь кол-во пк в сети, сравниваешь его с ревеню компании, если ревеню 100кк, а в сети 2 физ пк и 10 виртуалок повод задуматься...
Смотришь дату компании, соответствует ли она тематике, есть ли она вообще, может это просто сборный мусор
Смотришь дату компании, соответствует ли она тематике, есть ли она вообще, может это просто сборный мусор
много сеток так проебал интересно ?) что выше написано не индикатор хонипотов.
корпы и холдинги режут впн и роуты прописывают нужные, а дальше пробивать нужно и исследовать сеть.
что ты имеешь ввиду под "нужными" роутами и что ты собрался пробивать если учетка порезана?
