对两个“主动防御”蜜罐的分析

前言

我们在打红队的时候，经常会碰到蜜罐，而更有一些“主动防御”的蜜罐中利用到了一些网站的跨域漏洞和xss，现笔者对此进行简单分析。

 

蜜罐的概念

蜜罐主要是通过布置诱饵，诱使攻击者实施攻击，然后通过流量捕获、行为分析等对攻击者画像及溯源。

例如HFish蜜罐，属于高交互蜜罐，通过捕获攻击者行为，获取攻击者攻击数据、IP地址等，然而只是获取这些数据进行攻击者画像是远远不够的，而HFish也提供了自定义web蜜罐的部署，简单分析下碰到的两个蜜罐。

以下是红队和漏洞挖掘中碰到的两个蜜罐截图。
 

为什么说是“主动防御”呢？

当攻击者访问页面后，JS会自动执行，向许多我们常用的网站发送请求，而这些请求正是利用了许多网站的jsonp跨域漏洞和xss漏洞，获取攻击者浏览器中的COOKIE、用户名、手机号等信息，从而溯源攻击者，而攻击者也仅仅是访问这个页面，所以说是“主动防御”。

jsonp跨域

jsonp跨域漏洞类似于CSRF漏洞，也有的叫读取型CSRF漏洞，可以获取网站用户的一些用户名、手机号等一些敏感数据，如果对这个漏洞不熟悉的可以自行百度~

以下是蜜罐中一些利用jsonp跨域漏洞的数据包的截图。
 

如果登陆过网站并且有cookie存在，往往可以返回用户用户名、手机号数据。

xss漏洞

xss漏洞基本都是eval(name)，感觉是蜜罐配置的时候有些问题，查看js代码的话，是全都添加到一个iframe标签中，然后设置iframe标签中name变量为一串js代码，而这里的eval(name)，在我的理解应该是执行预先设置的js代码，设置name变量，然后执行那一串js代码。（P.S. JS代码我略懂皮毛，这段理解和分析可能有误，就不深究了。）

jsonp配置不当也会出现xss，如下图：
 

也有直接的xss，例如这个csdn的（csdn的就码的重一点了）

博客园的xss（重码）

这两个网站我相信搞IT的应该大部分人都比较常用了，蜜罐利用这样的网站的漏洞，也可以很轻易的获取到攻击者的用户名、手机号等信息。

综上，所谓主动防御型蜜罐，只要攻击者使用浏览器访问了，并且浏览器的缓存中有蜜罐配置的利用漏洞获取用户信息的网站COOKIE，那么蜜罐即可利用jsonp或者xss漏洞来获取攻击者的个人信息，有了姓名、ID、手机号等信息后，溯源红队也变的更加容易。

反制蜜罐

蜜罐中也是一个系统，也是有一些漏洞的，例如HFish蜜罐就曾存在未授权读取信息漏洞以及存储XSS漏洞，默安科技幻阵蜜罐也曾存在未授权访问漏洞，利用蜜罐自身漏洞来反制蜜罐。

蜜罐我的研究并不深，更多的思路还得看师傅们自由发挥，平常碰到了还是可以尝试下XSS等漏洞进行反制。

如何防御蜜罐

这些蜜罐如果是商用的，有不少界面是一样的，例如本文中的第二张图片，但也有自定义界面的，所以我认为通过特征来预防蜜罐的方法比较麻烦，并且不能完全预防。

防范建议

1、如果有代码能力的话，可以自己动手写浏览器插件或burp插件，检测到数据包中包含callback、jsonp等关键字时，拦截并让用户自己确认。

2、浏览器使用noscript插件可以及时发现潜在的xss威胁，可以发现部分利用xss漏洞的蜜罐。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取 

 读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

同时每个成长路线对应的板块都有配套的视频提供： 

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~ 

 读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

特别声明：

此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。