智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

admin 2024年8月14日22:57:33评论13 views字数 1903阅读6分20秒阅读模式

0x01 工具介绍

智云是一个轻量级的蜜罐工具,专注于捕获和分析Web流量。它能抓取所有HTTP请求和响应报文,帮助用户监测和分析网络流量。主要功能包括首页自定义指纹混淆扫描、流量识别正则表达式、自定义后台路径、JSONP功能后续支持和Docker容器一键启动等。适用于安全分析和网络流量监控,系统主要功能为抓取访问web的所有http流量,其他的功能就是围绕这http流量进行分析。

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

下载地址在末尾

0x02 功能简介

系统管理模块

首页

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

月流量态势

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

系统登录日志

  • 记录每次登录的日志,便于做日志审计

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

Dnslog日志

  • 很多高危漏洞需要用dnslog探测才能发现是否存在漏洞。如Fastjson,log4j等知验证漏洞,因此设计出混淆该dnslog探测的域名来迷惑攻击者
  • 当攻击者使用带有的dnslog的域名来探测登录接口是否存在漏洞时,系统会使用gethostbyname函数来解析探测的域名并返回重定向到首页的报文,同时探测的域名会产生一个A记录,但并不会产生http请求
  • 由于识别dnslog域名比较困难,因此实现为请求报文中全局抓取3级域名

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

指纹KEY定义(v1.1+)

  • 为了混淆扫描器的指纹识别功能,可以在首页添加些关键字

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

  • 添加的指纹每次请求会随机抽取添加到首页的注释中

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

蜜罐流量分析

  • 抓取的流量不会记录管理员的流量

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

混淆流量

  • dnslog的日志在这里会被标记为混淆
  • sql注入个别情况混淆
  • git-leak混淆
  • hikvision-downfle-fileread标记混淆

混淆为并不是真的有漏洞,而是系统伪造的漏洞,例如:

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

系统信息配置(v1.2+)

  • 可以配置首页的一些信息
  • 邮箱key可以在线修改

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

  • 后台路径自定义

默认后台登录地址为http://127.0.0.1/xlogin/login

如果这里改为/xiao 那么后台的登录地址就为http://127.0.0.1/xiao 原来的那个路径就会失效

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

钓鱼攻击

蜜罐主要功能设计为抓取所有的http流量,以及混淆扫描器.对于攻击者来说,这种蜜罐做的确实很假

设计了一些功能,注册场景需要邮箱验证码,登录需要输入手机号,记录一下这些登录日志,其他的就没了,对于这些功能有些鸡肋

后续研究些漏洞利用的或许会有些好的效果.

态势面板

  • 态势会显示首页所有抓取的记录

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

ntlm认证

  • WWW-Authenticate在认证的过程中会使用NTLM协议,在此过程中NTLM Type3消息会携带系统的主机名,因此可以通过伪造NTLM协议地址来抓取该信息,不过系统的主机名也不是什么敏感信息。

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

0x03更新说明

新增功能-自定义后台路径

0x04 使用介绍

关于环境

使用apache主要是为了实现404等请求重定向到首页从而更好的抓取流量,实现的位置在public/.htaccess

  • 目前nginx我还不知道实现以下语法,因此目前还不太支持nginx
<IfModule mod_rewrite.c>  Options +FollowSymlinks -Multiviews  RewriteEngine On  RewriteCond %{REQUEST_FILENAME} !-d  RewriteCond %{REQUEST_FILENAME} !-f  RewriteRule ^(.*)$ index.php [L,E=PATH_INFO:$1]  SetEnvIf Authorization .+ HTTP_AUTHORIZATION=$0</IfModule>

mysql8

  • 由于使用的一些新的数据类型,因此需要使用MySQL8版本,否则sql插入时会报错

php7.3.4+

  • php必须php7.3.4+(php8不支持,可能会有错误)

宝塔快速安装教程

创建网站端口开放在80,8080抓取效果最佳

创建数据库并索引

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

修改.env 配置数据库密码和邮箱key

  • 根目录下的.env文件
  • 数据库密码注意输入正确

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

上传网站,配置/public为根目录

  • 系统使用thinkphp6框架,启动目录在/public
  • 修改配置会重置为/,记得该恢复

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

后台地址

http://127.0.0.1/xlogin/login默认账号密码为admin/pot-admin登录后记得改密码!

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

报告情况举例

403 禁止

这种情况一般为未配置/public为运行目录

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

未知错误

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

这种需要修改.env文件开启debug查看

APP_DEBUG = true调试好错误后记得关
  • 报数据库无法正常链接的常见错误

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月14日22:57:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   智云-一个抓取web流量的轻量级蜜罐|漏洞抓取http://cn-sec.com/archives/3064959.html

发表评论

匿名网友 填写信息