前言
早在2022年5月18日的时候,由于HFish官方文档的nginx配置文件问题,官方文档的nginx配置存在多处错误。在HFish的社区群里为群友解答如何使用nginx进行反向代理以及提供能供正常使用的配置文件,收到了微步HFish产品部寄送的感谢信以及X社区的高级查询卡。
(上图是当时站群使用的两款威胁捕捉与诱骗系统)
在使用HFish蜜罐的过程中,结合不同厂商的产品给HFish产品部提出不少建议与改进方案,也收到了产品部寄送的HFish周边短袖一件。
在HFish推出3.0.1版本后,发现生成的蜜标文件触发后主机无法收到信息,而doc文件可以通过改源码将向主控发送的内网ip地址更改为公网ip地址即可修复该问题。同时提出了由蜜标文件向境外dns干净的服务器做代理,向主控发送请求,在蜜标文件被分析的同时不暴露主控系统。也提出了7878蜜饵分发端口关闭导致蜜标向主控发送信息后无法收到的问题。
六月二十三的时候,由收到产品部的运营发送的6.23-8.23期间HFish社区活动第一蛋的推文,根据活动积分规则在工作之余着手编写低交互蜜罐,以及创作HFish相关文章。当然,也通过战队公众号和朋友圈分享文章视频等,拿到了第二章X社区的高级查询卡(第二章查询卡没邮寄,直接给的兑换码)
七月份写了几篇关于蜜罐隐藏方案以及蜜标隐藏方案的文章,修正了官方的错误排查文档,以及官方的nginx文档,并提供了免费ssl申请方案与证书自动续期方案,以及nginx鉴权隐藏主控端的方案。(nginx的官方文档到现在两个月了还没更新上去,有需要的话可以看nginx反向代理修正版,或者搜索HFish nginx并查看首位文章即可(七月至今一直在首位),同时文章也已经在稀土掘金发布)
下面来简单讲讲写蜜罐的路程。
于六月二十八写了两个蜜罐后,在六月二十九号提交了十个蜜罐,并在六月三十号根据产品部提出的修改建议,完成了首批十个蜜罐的优化(包括验证码,登录语言等)。
TDP蜜罐
cloudreve蜜罐
fileborser蜜罐
gophish蜜罐
mailu蜜罐
等等。
当然,第一批的是个蜜罐的审核是到了七月十三号才审核完,并兑换了京东E卡,披风等奖品。
此后,在7.25前陆陆续续提交了数个蜜罐,并在8.25-8.8之间在某国企本级单位(当时是单位的总防,微步产品部的小马也到现场了)按照三个正常服务写了两个蜜罐(笔者写了两个,还有一个是小马写的)。
8.8后断断续续又提交了数个蜜罐,至今已经提交了三十二个蜜罐,包括fireeye产品一套六个蜜罐等。
当然 8.23之前写的蜜罐都提交并兑换了等值周边,后面写的目前还存着。前面提交的部分蜜罐被存放到HFish的3.1.4版本内置蜜罐。后续也可能会将部分可公开蜜罐上传到GitHub给大家使用。
蜜罐编写
蜜罐编写在HFish的官方文档有相关教程,通常只需要将需要编写蜜罐的页面使用CTR+S保存到本地,将页面文件名改为index.html,调用到的css和js文件放入文件夹并更改index内文件调用路径。
根据HFis官方要求,将所有资源改为本地调用,检查所有文件内是否存在原访问地址,并将woff,tff等不会自动保存的文件下载到本地。
在index.html的body内嵌入以下代码
<script type="text/javascript">
var ndScript = document.createElement('script');
ndScript.src="./portrait.js";
document.body.appendChild(ndScript);
</script>
将登录页面的表单<form></form>
标签作以下更改
<form>
标签改为<form method="post" action="/login">
,可包含其他内容,但action的与method的值必须为所要求的值,不然无法接收表单信息。
<input type="text" name="username"/>
<input type="text" name="age"/>
<input type="password" name="password">
<input type="submit" value="提交"/>
如上,所有input的name必须改为上面指定的值,type="submit"
后面value的值可以更改。如果提交标签使用的是<button>
的话,可以将button标签改为input标签。
将蜜罐文件打包并命名为service-<name>.zip
的形式
完成以上步骤后,在自己的云服务器或者虚拟机内部署HFish蜜罐并在服务管理上传自定义蜜罐。
在节点管理处引用上传的蜜罐并访问蜜罐页面,测试表单收集信息是否成功,在账号资产处查看是否存在相关资产(所提交的表单内容)
验证过后即可提交该zip压缩包给产品部。
结语
以上即笔者与HFish蜜罐打交道以来的部分内容。不得不说,HFish确实是一款不错的产品,也是免费开源的企业级蜜罐,在情报收集,以及内网监测一块具有不少的贡献。大家想要使用威胁捕捉与诱骗系统也可以部署HFish蜜罐体验一番。同时也希望HFish蜜罐在数据库查询一块以及在一些细节问题能够进一步优化。(nginx反向代理修正文章也极限拖延两个月了)
标签:蜜罐,nginx,HFish,主控,提交,产品部,社区活动,500 From: https://www.cnblogs.com/kaydenlsr/p/16660292.html