0x01 工具介绍
下载地址在末尾
0x02 功能简介
系统管理模块
首页
月流量态势
系统登录日志
- 记录每次登录的日志,便于做日志审计
Dnslog日志
- 很多高危漏洞需要用dnslog探测才能发现是否存在漏洞。如Fastjson,log4j等知验证漏洞,因此设计出混淆该dnslog探测的域名来迷惑攻击者
- 当攻击者使用带有的dnslog的域名来探测登录接口是否存在漏洞时,系统会使用gethostbyname函数来解析探测的域名并返回重定向到首页的报文,同时探测的域名会产生一个A记录,但并不会产生http请求
- 由于识别dnslog域名比较困难,因此实现为请求报文中全局抓取3级域名
指纹KEY定义(v1.1+)
- 为了混淆扫描器的指纹识别功能,可以在首页添加些关键字
- 添加的指纹每次请求会随机抽取添加到首页的注释中
蜜罐流量分析
- 抓取的流量不会记录管理员的流量
混淆流量
- dnslog的日志在这里会被标记为混淆
- sql注入个别情况混淆
- git-leak混淆
- hikvision-downfle-fileread标记混淆
混淆为并不是真的有漏洞,而是系统伪造的漏洞,例如:
系统信息配置(v1.2+)
- 可以配置首页的一些信息
- 邮箱key可以在线修改
- 后台路径自定义
默认后台登录地址为http://127.0.0.1/xlogin/login
如果这里改为/xiao 那么后台的登录地址就为http://127.0.0.1/xiao 原来的那个路径就会失效
钓鱼攻击
蜜罐主要功能设计为抓取所有的http流量,以及混淆扫描器.对于攻击者来说,这种蜜罐做的确实很假
设计了一些功能,注册场景需要邮箱验证码,登录需要输入手机号,记录一下这些登录日志,其他的就没了,对于这些功能有些鸡肋
后续研究些漏洞利用的或许会有些好的效果.
态势面板
- 态势会显示首页所有抓取的记录
ntlm认证
- WWW-Authenticate在认证的过程中会使用NTLM协议,在此过程中NTLM Type3消息会携带系统的主机名,因此可以通过伪造NTLM协议地址来抓取该信息,不过系统的主机名也不是什么敏感信息。
0x03更新说明
新增功能-自定义后台路径
0x04 使用介绍
关于环境
使用apache主要是为了实现404等请求重定向到首页从而更好的抓取流量,实现的位置在public/.htaccess
- 目前nginx我还不知道实现以下语法,因此目前还不太支持nginx
<IfModule mod_rewrite.c>
Options +FollowSymlinks -Multiviews
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php [L,E=PATH_INFO:$1]
SetEnvIf Authorization .+ HTTP_AUTHORIZATION=$0
</IfModule>
mysql8
- 由于使用的一些新的数据类型,因此需要使用MySQL8版本,否则sql插入时会报错
php7.3.4+
- php必须php7.3.4+(php8不支持,可能会有错误)
宝塔快速安装教程
创建网站端口开放在80,8080抓取效果最佳
创建数据库并索引
修改.env 配置数据库密码和邮箱key
- 根目录下的.env文件
- 数据库密码注意输入正确
上传网站,配置/public为根目录
- 系统使用thinkphp6框架,启动目录在/public
- 修改配置会重置为/,记得该恢复
后台地址
http://127.0.0.1/xlogin/login
默认账号密码为admin/pot-admin
登录后记得改密码!
报告情况举例
403 禁止
这种情况一般为未配置/public为运行目录
未知错误
这种需要修改.env文件开启debug查看
APP_DEBUG = true
调试好错误后记得关
- 报数据库无法正常链接的常见错误
0x05 下载
https://github.com/xiaoxiaoranxxx/POT-ZHIYUN/archive/refs/tags/v1.2.zip
原文始发于微信公众号(渗透安全HackTwo):智云-一个抓取web流量的轻量级蜜罐|漏洞抓取
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论