password
status
date
icon
category
tags
slug
summary
0x00 简介
过去的一段时间里看书和公众号发现不少可以用于溯源的思路,于是便将这些思路整合写了个 demo。
0x01 思路
1.1 识别攻击者
现在的蜜罐基本都是与业务分离开的,一些和业务在一起的也是在同一台主机不同端口,于是便产生将正常 web 业务和蜜罐融合在一起的想法。这里我的想法是通过 js 插入到正常 web 业务里,判断是否是攻击者,如果是攻击者则触发蜜罐,如果不是则正常浏览。一开始我想的是判断是否使用了 burp 和识别浏览器插件,后来发现识别浏览器插件对性能有一定影响,这放在生产环境是肯定不能接受的,所以只考虑识别 burp。
最后决定选用这个来检测是否使用了 burp。
选用
http://burp/favicon.ico 能避免改端口的情况,但是我还是更倾向于 8080,因为 8080 的话即使浏览器没挂 burp 代理也能检测到。当然,也可以选择全都要,不过我认为还是尽量少发请求比较好,精准性稍微牺牲一点也可以接受。1.2 溯源方式
溯源方式这里真是纠结的很,常规蜜罐一般都是 jsonp 溯源,我这里想了一些其他的溯源方法,感觉效果还可以。
1.NTLM 认证获取主机名
思路来自 web 之困
让 js 请求一个链接然后服务器返回 401 并带上
WWW-Authenticate 头要求进行 NTLM 认证。会弹出一个这样的窗口
一般人很难克制住 admin admin 的冲动吧。请求后会进行 NTLM 认证,服务器可以收到请求者的主机名。mac 系统默认的主机名是 xxxdemacbook,直接暴露真实姓名,对于喜欢用 id 当主机名的可以通过搜索引擎、github 等方法溯源。
2.摄像头、定位
这个没啥好说的, web 蜜罐基础功能
3.MySQL蜜罐
在 NTLM 认证后登录后通过 js 把页面覆盖为一个假的后台。跳转也可以,不过为了更逼真还是保持 url 不变比较好。
然后后台放一个外网 mysql 数据库配置信息。
然后在对应的端口起一个 mysql 蜜罐
MySQL_Fake_Server
fnmsd • Updated Aug 30, 2023
4.源码钓鱼
假后台放上一个网站备份文件下载,然后放上加密后的网站源码,诱导攻击者运行网站源码进行分析,源码加上收集信息并传递给服务器的代码,狠一点直接上线也是可以的。
5.webrtc 获取真实 ip
配合一些高精度 ip 定位业务,真实 ip 基本可以定位到楼,2018 那会百度定位 api 还开发时免费定位是真的爽,现在付费的精度还不如之前百度免费的。
比较坑的是这个并不是所有浏览器都行,测试的火狐、谷歌最新、burp自带都不行。。。。
0x02 Demo 实现
2.1 识别攻击者
2.2 NTLM 认证
服务端(Python)
2.3 摄像头及定位
2.4 伪造后台钓鱼
0x03 总结
只是为了验证功能写的,代码基本属于不可回收垃圾,成品估计不会放在博客了。
- 作者:fatekey
- 链接:https://blog.fatekey.icu/article/WEBHoneypot
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章