标签:蜜罐 nginx HFish 主控 提交 产品部 社区活动 500
前言
早在2022年5月18日的时候,由于HFish官方文档的nginx配置文件问题,官方文档的nginx配置存在多处错误。在HFish的社区群里为群友解答如何使用nginx进行反向代理以及提供能供正常使用的配置文件,收到了微步HFish产品部寄送的感谢信以及X社区的高级查询卡。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1k7r5qaZ-1662400170420)(https://p6-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/052da684c13e4c509dcf755da38f98d5~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=348f55d13dd54336bcd4e3ae3b3387ea.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-N50UJ39Z-1662400170421)(https://p1-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/ca1123c0bd1c40c396da09de594149bf~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=9531d9ad9b8b45cc9aa8f3b2521f45de.png)
(上图是当时站群使用的两款威胁捕捉与诱骗系统)
在使用HFish蜜罐的过程中,结合不同厂商的产品给HFish产品部提出不少建议与改进方案,也收到了产品部寄送的HFish周边短袖一件。
在HFish推出3.0.1版本后,发现生成的蜜标文件触发后主机无法收到信息,而doc文件可以通过改源码将向主控发送的内网ip地址更改为公网ip地址即可修复该问题。同时提出了由蜜标文件向境外dns干净的服务器做代理,向主控发送请求,在蜜标文件被分析的同时不暴露主控系统。也提出了7878蜜饵分发端口关闭导致蜜标向主控发送信息后无法收到的问题。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vQpfCvUl-1662400170421)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/0903e5c1e6b04ae1821427bdf2ac293c~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=d2f07f42f9584f49aba13b7704eb8f33.png)
六月二十三的时候,由收到产品部的运营发送的6.23-8.23期间HFish社区活动第一蛋的推文,根据活动积分规则在工作之余着手编写低交互蜜罐,以及创作HFish相关文章。当然,也通过战队公众号和朋友圈分享文章视频等,拿到了第二章X社区的高级查询卡(第二章查询卡没邮寄,直接给的兑换码)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wk3S6tjI-1662400170422)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/3514b4f5e5c54f1a83318999976c1a5f~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=cb3765b3387a41608742db58fa62cb46.png)
七月份写了几篇关于蜜罐隐藏方案以及蜜标隐藏方案的文章,修正了官方的错误排查文档,以及官方的nginx文档,并提供了免费ssl申请方案与证书自动续期方案,以及nginx鉴权隐藏主控端的方案。(nginx的官方文档到现在两个月了还没更新上去,有需要的话可以看nginx反向代理修正版,或者搜索HFish nginx并查看首位文章即可(七月至今一直在首位),同时文章也已经在稀土掘金发布)
下面来简单讲讲写蜜罐的路程。
于六月二十八写了两个蜜罐后,在六月二十九号提交了十个蜜罐,并在六月三十号根据产品部提出的修改建议,完成了首批十个蜜罐的优化(包括验证码,登录语言等)。
TDP蜜罐
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CL0eRmCM-1662400170422)(https://p9-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/1936918f232949429238af4c0cd49e3b~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=4082e12212464b92a56f8d2fabb8cd9e.png)
cloudreve蜜罐
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-42YKqFoT-1662400170423)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/4f6936eb8c794953854625b4470938eb~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=5648efc95a7a457c87fe5def91fd8ad8.png)
fileborser蜜罐
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JrdwqPYy-1662400170423)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/08ab9249f3e145f692ebed6a1e6d5189~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=47440c97ca80441db755fe07be402cc7.png)
gophish蜜罐
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OMUIX2jL-1662400170423)(https://p9-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b7ab01cf7e3c4af895a6cce1af946fc3~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=007cc7119b5b4663a6a2b381725561b7.png)
mailu蜜罐
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UT7Ja3O6-1662400170423)(https://p1-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/bc220e1e1d434c10bcca31a4835c8f9a~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=22c2eb4b46784992bb8283aece48e155.png)
等等。
当然,第一批的是个蜜罐的审核是到了七月十三号才审核完,并兑换了京东E卡,披风等奖品。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-J5NtV4ww-1662400170423)(https://p9-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/2b9878593e8840bd92c25c53f71dbf5d~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=c2f9d1bdd6334a3aa5ea5909a164e272.png)
此后,在7.25前陆陆续续提交了数个蜜罐,并在8.25-8.8之间在某国企本级单位(当时是单位的总防,微步产品部的小马也到现场了)按照三个正常服务写了两个蜜罐(笔者写了两个,还有一个是小马写的)。
8.8后断断续续又提交了数个蜜罐,至今已经提交了三十二个蜜罐,包括fireeye产品一套六个蜜罐等。
当然 8.23之前写的蜜罐都提交并兑换了等值周边,后面写的目前还存着。前面提交的部分蜜罐被存放到HFish的3.1.4版本内置蜜罐。后续也可能会将部分可公开蜜罐上传到GitHub给大家使用。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0HYbpGWC-1662400170423)(https://p1-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/c35d4fb786464015a3b8f046d48ab476~tplv-k3u1fbpfcp-watermark.image?)]](https://www.icode9.com/i/ll/?i=1fabe4b12665401cad36846c2c423d4d.png)
蜜罐编写
蜜罐编写在HFish的官方文档有相关教程,通常只需要将需要编写蜜罐的页面使用CTR+S保存到本地,将页面文件名改为index.html,调用到的css和js文件放入文件夹并更改index内文件调用路径。
根据HFis官方要求,将所有资源改为本地调用,检查所有文件内是否存在原访问地址,并将woff,tff等不会自动保存的文件下载到本地。
在index.html的body内嵌入以下代码
<script type="text/javascript">
var ndScript = document.createElement('script');
ndScript.src="./portrait.js";
document.body.appendChild(ndScript);
</script>
将登录页面的表单<form></form>标签作以下更改
<form>标签改为<form method="post" action="/login">,可包含其他内容,但action的与method的值必须为所要求的值,不然无法接收表单信息。
<input type="text" name="username"/>
<input type="text" name="age"/>
<input type="password" name="password">
<input type="submit" value="提交"/>
如上,所有input的name必须改为上面指定的值,type="submit"后面value的值可以更改。如果提交标签使用的是<button>的话,可以将button标签改为input标签。
将蜜罐文件打包并命名为service-<name>.zip的形式
完成以上步骤后,在自己的云服务器或者虚拟机内部署HFish蜜罐并在服务管理上传自定义蜜罐。
在节点管理处引用上传的蜜罐并访问蜜罐页面,测试表单收集信息是否成功,在账号资产处查看是否存在相关资产(所提交的表单内容)
验证过后即可提交该zip压缩包给产品部。
结语
以上即笔者与HFish蜜罐打交道以来的部分内容。不得不说,HFish确实是一款不错的产品,也是免费开源的企业级蜜罐,在情报收集,以及内网监测一块具有不少的贡献。大家想要使用威胁捕捉与诱骗系统也可以部署HFish蜜罐体验一番。同时也希望HFish蜜罐在数据库查询一块以及在一些细节问题能够进一步优化。(nginx反向代理修正文章也极限拖延两个月了)
标签:蜜罐,nginx,HFish,主控,提交,产品部,社区活动,500 来源: https://www.cnblogs.com/kaydenlsr/p/16660292.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。