christophe77/express-honeypot
GitHub: christophe77/express-honeypot
一个基于 Express 的 Web 蜜罐,通过模拟 RFI/LFI 漏洞页面来诱捕并记录恶意扫描机器人的请求与远程文件。
Stars: 21 | Forks: 8
# express-honeypot
Express honeypot 是一个用于远程文件包含(RFI)和本地文件包含(LFI)的蜜罐。
该项目的旨在捕获那些扫描网站并尝试上传远程文件的机器人(bots)和恶意软件。
这些 RFI / LFI 机器人会使用一系列 google dorks 在网络上搜索存在漏洞的网站。
Express honeypot 使用了 310 个基于 RFI LFI dorks 的虚假 URL,并动态地提供这些页面。
对蜜罐 URL 的每一个请求都会被记录,远程文件也会被下载并安全地存储起来。
这个蜜罐使用 javascript 编写,并使用 express 作为 Web 服务器。
在 /beekeeper 提供了一个轻量级的日志查看页面,但我认为它还需要增加更多的命令。
开发仍在进行中,但核心架构不会改变,因此您可以放心开始使用。
## 如何使用 克隆该项目并安装依赖项:
``` git clone https://github.com/christophe77/express-honeypot cd express-honeypot yarn install ``` 编辑 _/express/config.js_ 文件。
_port_ 是 Web 服务器的端口。
_beekeeperCredentials_ 是访问 /beekeeper URL 的用户名和密码。
_remoteFileSave_ 用于选择将远程文件保存在本地驱动器、dpaste,或者两者上。
_googleVerification_ 是在 google search console 中用于验证您的网站的密钥。
安装完成后,您可以使用以下命令启动应用:
``` yarn start ``` ## 部署后的工作原理 应用启动一个 Web 服务器,生成一个包含来自 phpBB、joomla 等已知漏洞路径的 sitemap。
当访问者打开一个 URL 并尝试包含一个远程文件时,关于该请求的信息将被存储在 _/express/hive_ 目录下的一个 JSON 文件中。
用于包含的远程文件会被下载到 hive 文件夹中,并带有 .bee 扩展名 _/express/hive/files/YYYY-MM-DD/filename.ext.bee_
当打开某个 URL 时,会显示一个虚假页面,其中包含一些基本的 HTML 标签、随机文本以及一些针对 google 机器人的 SEO 内容。
如果该页面被打开时 URL 中包含了一个远程文件,那么该文件的内容将被添加到响应主体中,就像注入成功了一样。
它只会以文本形式显示,并不会发生真正的注入。
如果您想让您的蜜罐发挥作用,需要将其推广到各个搜索引擎上。
google search console 是最佳的开始选择。
当您想要检查日志时,必须访问 _your-website.com/beekeeper_
## 如何添加更多虚假 URL 如果您想添加 URL,必须打开 _/express/pages.js_ 并添加新数据。
该项目的旨在捕获那些扫描网站并尝试上传远程文件的机器人(bots)和恶意软件。
这些 RFI / LFI 机器人会使用一系列 google dorks 在网络上搜索存在漏洞的网站。
Express honeypot 使用了 310 个基于 RFI LFI dorks 的虚假 URL,并动态地提供这些页面。
对蜜罐 URL 的每一个请求都会被记录,远程文件也会被下载并安全地存储起来。
这个蜜罐使用 javascript 编写,并使用 express 作为 Web 服务器。
在 /beekeeper 提供了一个轻量级的日志查看页面,但我认为它还需要增加更多的命令。
开发仍在进行中,但核心架构不会改变,因此您可以放心开始使用。
## 如何使用 克隆该项目并安装依赖项:
``` git clone https://github.com/christophe77/express-honeypot cd express-honeypot yarn install ``` 编辑 _/express/config.js_ 文件。
_port_ 是 Web 服务器的端口。
_beekeeperCredentials_ 是访问 /beekeeper URL 的用户名和密码。
_remoteFileSave_ 用于选择将远程文件保存在本地驱动器、dpaste,或者两者上。
_googleVerification_ 是在 google search console 中用于验证您的网站的密钥。
安装完成后,您可以使用以下命令启动应用:
``` yarn start ``` ## 部署后的工作原理 应用启动一个 Web 服务器,生成一个包含来自 phpBB、joomla 等已知漏洞路径的 sitemap。
当访问者打开一个 URL 并尝试包含一个远程文件时,关于该请求的信息将被存储在 _/express/hive_ 目录下的一个 JSON 文件中。
用于包含的远程文件会被下载到 hive 文件夹中,并带有 .bee 扩展名 _/express/hive/files/YYYY-MM-DD/filename.ext.bee_
当打开某个 URL 时,会显示一个虚假页面,其中包含一些基本的 HTML 标签、随机文本以及一些针对 google 机器人的 SEO 内容。
如果该页面被打开时 URL 中包含了一个远程文件,那么该文件的内容将被添加到响应主体中,就像注入成功了一样。
它只会以文本形式显示,并不会发生真正的注入。
如果您想让您的蜜罐发挥作用,需要将其推广到各个搜索引擎上。
google search console 是最佳的开始选择。
当您想要检查日志时,必须访问 _your-website.com/beekeeper_
## 如何添加更多虚假 URL 如果您想添加 URL,必须打开 _/express/pages.js_ 并添加新数据。
标签:CISA项目, GNU通用公共许可证, MITM代理, Node.js, Web安全, 威胁情报, 开发者工具, 数据可视化, 文件包含漏洞, 网络信息收集, 自定义脚本, 蓝队分析, 蜜罐技术