password
status
date
icon
category
tags
slug
summary

0x00 简介

过去的一段时间里看书和公众号发现不少可以用于溯源的思路,于是便将这些思路整合写了个 demo。

0x01 思路

1.1 识别攻击者

现在的蜜罐基本都是与业务分离开的,一些和业务在一起的也是在同一台主机不同端口,于是便产生将正常 web 业务和蜜罐融合在一起的想法。这里我的想法是通过 js 插入到正常 web 业务里,判断是否是攻击者,如果是攻击者则触发蜜罐,如果不是则正常浏览。一开始我想的是判断是否使用了 burp 和识别浏览器插件,后来发现识别浏览器插件对性能有一定影响,这放在生产环境是肯定不能接受的,所以只考虑识别 burp。
最后决定选用这个来检测是否使用了 burp。
选用http://burp/favicon.ico 能避免改端口的情况,但是我还是更倾向于 8080,因为 8080 的话即使浏览器没挂 burp 代理也能检测到。当然,也可以选择全都要,不过我认为还是尽量少发请求比较好,精准性稍微牺牲一点也可以接受。

1.2 溯源方式

溯源方式这里真是纠结的很,常规蜜罐一般都是 jsonp 溯源,我这里想了一些其他的溯源方法,感觉效果还可以。

1.NTLM 认证获取主机名

思路来自 web 之困
notion image
让 js 请求一个链接然后服务器返回 401 并带上WWW-Authenticate 头要求进行 NTLM 认证。会弹出一个这样的窗口
notion image
一般人很难克制住 admin admin 的冲动吧。请求后会进行 NTLM 认证,服务器可以收到请求者的主机名。mac 系统默认的主机名是 xxxdemacbook,直接暴露真实姓名,对于喜欢用 id 当主机名的可以通过搜索引擎、github 等方法溯源。

2.摄像头、定位

这个没啥好说的, web 蜜罐基础功能

3.MySQL蜜罐

在 NTLM 认证后登录后通过 js 把页面覆盖为一个假的后台。跳转也可以,不过为了更逼真还是保持 url 不变比较好。
然后后台放一个外网 mysql 数据库配置信息。
然后在对应的端口起一个 mysql 蜜罐
MySQL_Fake_Server
fnmsdUpdated Sep 12, 2024

4.源码钓鱼

假后台放上一个网站备份文件下载,然后放上加密后的网站源码,诱导攻击者运行网站源码进行分析,源码加上收集信息并传递给服务器的代码,狠一点直接上线也是可以的。

5.webrtc 获取真实 ip

配合一些高精度 ip 定位业务,真实 ip 基本可以定位到楼,2018 那会百度定位 api 还开发时免费定位是真的爽,现在付费的精度还不如之前百度免费的。
比较坑的是这个并不是所有浏览器都行,测试的火狐、谷歌最新、burp自带都不行。。。。

0x02 Demo 实现

2.1 识别攻击者

2.2 NTLM 认证

服务端(Python)

2.3 摄像头及定位

2.4 伪造后台钓鱼

0x03 总结

只是为了验证功能写的,代码基本属于不可回收垃圾,成品估计不会放在博客了。
XRK RCE 分析复现MacBook IDA 分析 Go 程序踩坑
公告
password
status
date
icon
category
tags
slug
summary
年轻时,你的潜力是无限的。说实在的,任何事都有可能做成。你可以成为爱因斯坦,也可以成为迪马吉奥。直到某一天,你身上的可能性消失殆尽,你没能成为爱因斯坦,你只是一个无名之辈。那真是糟糕的时刻。
🔮
所谓魔法不过是我们尚未了解的科学。
📚
潜心学习,低调发展。