Burp插件-蜜罐识别辅助HoneyPotDetector

admin 2024年2月23日09:46:45评论20 views字数 1154阅读3分50秒阅读模式

点击「蓝色」字体关注我们!

蜜罐技术jsonp劫持原理:
JSON劫持又称“JSON Hijacking”,2008年国外安全研究人员开始提到由JSONP带来的风险。这个问题属于CSRF(Cross-site request forgery跨站请求伪造)攻击范畴,当某网站通过JSONP的方式跨域(一般为子域)传递用户认证后的敏感信息时,攻击者可以构造恶意的JSONP调用页面,诱导被攻击者访问,以达到截取用户敏感信息的目的,但是不同之处在于,csrf可以不止script标签来利用,还可以利用img等加载外部资源的标签,而jsonp劫持目前只能通过script标签来引入js代码调用

Burp插件-蜜罐识别辅助HoneyPotDetector

Burp插件-蜜罐识别辅助HoneyPotDetector

Burp插件-蜜罐识别辅助HoneyPotDetector

大部分的jsonp都是通过加载script的方式进行引入url,并且
jsonp劫持需要指定回调函数,而回调函数往往与callback,jsonp等单词有关,因此我们可以先利用这些关键单词进行识别

插件原理:
插件是被动扫描的,蜜罐特征请求API域名正则匹配规则内置50多条,涉及特殊API调用的敏感域名请求(jsonp),以及对响应的js代码中是否存在callback回调函数或jsonp关键词进行捕获信息通过Captured输出信息(比如你访问一个网站,但这个网站通过jsonp技术请求百度贴吧的API域名或163域名的话,那肯定是有问题的了,也能够判断出来)

效果:
HFish节点部署个浙江大华蜜罐

Burp插件-蜜罐识别辅助HoneyPotDetector

访问web蜜罐后,被动扫描完成就会出现内容

Burp插件-蜜罐识别辅助HoneyPotDetector

说明该js文件内容有jsonp和callback的关键字

访问Hadoop蜜罐系统

Burp插件-蜜罐识别辅助HoneyPotDetector

Burp插件-蜜罐识别辅助HoneyPotDetector

存在大量第三方网址请求(jsonp劫持通过请求这些API网址实现获取攻击者身份ID等等)

通过插件的url可以看到

http://message.dangdang.com:80/api/msg_detail.php?customer_id=o4P00TweebicwjhS72NWew%3D%3D&data_type=jsonp&pageindex=1&module=1&pagesize=20&_=1596772198527&callback=jsonp1708592700262

Burp插件-蜜罐识别辅助HoneyPotDetector

可以看到是当当网的jsonp劫持

缺点:
缺点是流量大的时候数量会很多,当然也有大量误报情况,需要再人工判断下自己是不是真的踩到了蜜罐
误报中Captured捕获到callback的关键词较多的误报,但如果有FingerprintJS,fingerprint2,monitordevinfo这几个关键捕获就90%可以确定是个蜜罐系统了

插件下载地址:


https://gitee.com/CTF-hacker/honey-pot-detector

原文始发于微信公众号(PwnPigPig):Burp插件-蜜罐识别辅助HoneyPotDetector

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月23日09:46:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Burp插件-蜜罐识别辅助HoneyPotDetectorhttps://cn-sec.com/archives/2518456.html

发表评论

匿名网友 填写信息