前言
早在2022年5月18日的时候,由于HFish官方文档的nginx配置文件问题,官方文档的nginx配置存在多处错误。在HFish的社区群里为群友解答如何使用nginx进行反向代理以及提供能供正常使用的配置文件,收到了微步HFish产品部寄送的感谢信以及X社区的高级查询卡。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1k7r5qaZ-1662400170420)(https://p6-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/052da684c13e4c509dcf755da38f98d5~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/348f55d13dd54336bcd4e3ae3b3387ea.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-N50UJ39Z-1662400170421)(https://p1-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/ca1123c0bd1c40c396da09de594149bf~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/9531d9ad9b8b45cc9aa8f3b2521f45de.png)
(上图是当时站群使用的两款威胁捕捉与诱骗系统)
在使用HFish蜜罐的过程中,结合不同厂商的产品给HFish产品部提出不少建议与改进方案,也收到了产品部寄送的HFish周边短袖一件。
在HFish推出3.0.1版本后,发现生成的蜜标文件触发后主机无法收到信息,而doc文件可以通过改源码将向主控发送的内网ip地址更改为公网ip地址即可修复该问题。同时提出了由蜜标文件向境外dns干净的服务器做代理,向主控发送请求,在蜜标文件被分析的同时不暴露主控系统。也提出了7878蜜饵分发端口关闭导致蜜标向主控发送信息后无法收到的问题。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vQpfCvUl-1662400170421)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/0903e5c1e6b04ae1821427bdf2ac293c~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/d2f07f42f9584f49aba13b7704eb8f33.png)
六月二十三的时候,由收到产品部的运营发送的6.23-8.23期间HFish社区活动第一蛋的推文,根据活动积分规则在工作之余着手编写低交互蜜罐,以及创作HFish相关文章。当然,也通过战队公众号和朋友圈分享文章视频等,拿到了第二章X社区的高级查询卡(第二章查询卡没邮寄,直接给的兑换码)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wk3S6tjI-1662400170422)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/3514b4f5e5c54f1a83318999976c1a5f~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/cb3765b3387a41608742db58fa62cb46.png)
七月份写了几篇关于蜜罐隐藏方案以及蜜标隐藏方案的文章,修正了官方的错误排查文档,以及官方的nginx文档,并提供了免费ssl申请方案与证书自动续期方案,以及nginx鉴权隐藏主控端的方案。(nginx的官方文档到现在两个月了还没更新上去,有需要的话可以看nginx反向代理修正版,或者搜索HFish nginx并查看首位文章即可(七月至今一直在首位),同时文章也已经在稀土掘金发布)
下面来简单讲讲写蜜罐的路程。
于六月二十八写了两个蜜罐后,在六月二十九号提交了十个蜜罐,并在六月三十号根据产品部提出的修改建议,完成了首批十个蜜罐的优化(包括验证码,登录语言等)。
TDP蜜罐
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CL0eRmCM-1662400170422)(https://p9-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/1936918f232949429238af4c0cd49e3b~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/4082e12212464b92a56f8d2fabb8cd9e.png)
cloudreve蜜罐
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-42YKqFoT-1662400170423)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/4f6936eb8c794953854625b4470938eb~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/5648efc95a7a457c87fe5def91fd8ad8.png)
fileborser蜜罐
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JrdwqPYy-1662400170423)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/08ab9249f3e145f692ebed6a1e6d5189~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/47440c97ca80441db755fe07be402cc7.png)
gophish蜜罐
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OMUIX2jL-1662400170423)(https://p9-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b7ab01cf7e3c4af895a6cce1af946fc3~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/007cc7119b5b4663a6a2b381725561b7.png)
mailu蜜罐
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UT7Ja3O6-1662400170423)(https://p1-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/bc220e1e1d434c10bcca31a4835c8f9a~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/22c2eb4b46784992bb8283aece48e155.png)
等等。
当然,第一批的是个蜜罐的审核是到了七月十三号才审核完,并兑换了京东E卡,披风等奖品。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-J5NtV4ww-1662400170423)(https://p9-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/2b9878593e8840bd92c25c53f71dbf5d~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/c2f9d1bdd6334a3aa5ea5909a164e272.png)
此后,在7.25前陆陆续续提交了数个蜜罐,并在8.25-8.8之间在某国企本级单位(当时是单位的总防,微步产品部的小马也到现场了)按照三个正常服务写了两个蜜罐(笔者写了两个,还有一个是小马写的)。
8.8后断断续续又提交了数个蜜罐,至今已经提交了三十二个蜜罐,包括fireeye产品一套六个蜜罐等。
当然 8.23之前写的蜜罐都提交并兑换了等值周边,后面写的目前还存着。前面提交的部分蜜罐被存放到HFish的3.1.4版本内置蜜罐。后续也可能会将部分可公开蜜罐上传到GitHub给大家使用。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0HYbpGWC-1662400170423)(https://p1-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/c35d4fb786464015a3b8f046d48ab476~tplv-k3u1fbpfcp-watermark.image?)]](https://img-blog.csdnimg.cn/1fabe4b12665401cad36846c2c423d4d.png)
蜜罐编写
蜜罐编写在HFish的官方文档有相关教程,通常只需要将需要编写蜜罐的页面使用CTR+S保存到本地,将页面文件名改为index.html,调用到的css和js文件放入文件夹并更改index内文件调用路径。
根据HFis官方要求,将所有资源改为本地调用,检查所有文件内是否存在原访问地址,并将woff,tff等不会自动保存的文件下载到本地。
在index.html的body内嵌入以下代码
<script type="text/javascript">
var ndScript = document.createElement('script');
ndScript.src="./portrait.js";
document.body.appendChild(ndScript);
</script>
将登录页面的表单<form></form>标签作以下更改
<form>标签改为<form method="post" action="/login">,可包含其他内容,但action的与method的值必须为所要求的值,不然无法接收表单信息。
<input type="text" name="username"/>
<input type="text" name="age"/>
<input type="password" name="password">
<input type="submit" value="提交"/>
如上,所有input的name必须改为上面指定的值,type="submit"后面value的值可以更改。如果提交标签使用的是<button>的话,可以将button标签改为input标签。
将蜜罐文件打包并命名为service-<name>.zip的形式
完成以上步骤后,在自己的云服务器或者虚拟机内部署HFish蜜罐并在服务管理上传自定义蜜罐。
在节点管理处引用上传的蜜罐并访问蜜罐页面,测试表单收集信息是否成功,在账号资产处查看是否存在相关资产(所提交的表单内容)
验证过后即可提交该zip压缩包给产品部。
结语
以上即笔者与HFish蜜罐打交道以来的部分内容。不得不说,HFish确实是一款不错的产品,也是免费开源的企业级蜜罐,在情报收集,以及内网监测一块具有不少的贡献。大家想要使用威胁捕捉与诱骗系统也可以部署HFish蜜罐体验一番。同时也希望HFish蜜罐在数据库查询一块以及在一些细节问题能够进一步优化。(nginx反向代理修正文章也极限拖延两个月了)