谈谈笔者是怎么拿到HFish社区活动仅有的500京东E卡

前言

早在2022年5月18日的时候，由于HFish官方文档的nginx配置文件问题，官方文档的nginx配置存在多处错误。在HFish的社区群里为群友解答如何使用nginx进行反向代理以及提供能供正常使用的配置文件，收到了微步HFish产品部寄送的感谢信以及X社区的高级查询卡。

（上图是当时站群使用的两款威胁捕捉与诱骗系统）

在使用HFish蜜罐的过程中，结合不同厂商的产品给HFish产品部提出不少建议与改进方案，也收到了产品部寄送的HFish周边短袖一件。

在HFish推出3.0.1版本后，发现生成的蜜标文件触发后主机无法收到信息，而doc文件可以通过改源码将向主控发送的内网ip地址更改为公网ip地址即可修复该问题。同时提出了由蜜标文件向境外dns干净的服务器做代理，向主控发送请求，在蜜标文件被分析的同时不暴露主控系统。也提出了7878蜜饵分发端口关闭导致蜜标向主控发送信息后无法收到的问题。

六月二十三的时候，由收到产品部的运营发送的6.23-8.23期间HFish社区活动第一蛋的推文，根据活动积分规则在工作之余着手编写低交互蜜罐，以及创作HFish相关文章。当然，也通过战队公众号和朋友圈分享文章视频等，拿到了第二章X社区的高级查询卡（第二章查询卡没邮寄，直接给的兑换码）

七月份写了几篇关于蜜罐隐藏方案以及蜜标隐藏方案的文章，修正了官方的错误排查文档，以及官方的nginx文档，并提供了免费ssl申请方案与证书自动续期方案，以及nginx鉴权隐藏主控端的方案。（nginx的官方文档到现在两个月了还没更新上去，有需要的话可以看nginx反向代理修正版，或者搜索HFish nginx并查看首位文章即可（七月至今一直在首位），同时文章也已经在稀土掘金发布）

下面来简单讲讲写蜜罐的路程。

于六月二十八写了两个蜜罐后，在六月二十九号提交了十个蜜罐，并在六月三十号根据产品部提出的修改建议，完成了首批十个蜜罐的优化（包括验证码，登录语言等）。

TDP蜜罐

cloudreve蜜罐

fileborser蜜罐

gophish蜜罐

mailu蜜罐

等等。

当然，第一批的是个蜜罐的审核是到了七月十三号才审核完，并兑换了京东E卡，披风等奖品。

此后，在7.25前陆陆续续提交了数个蜜罐，并在8.25-8.8之间在某国企本级单位（当时是单位的总防，微步产品部的小马也到现场了）按照三个正常服务写了两个蜜罐（笔者写了两个，还有一个是小马写的）。

8.8后断断续续又提交了数个蜜罐，至今已经提交了三十二个蜜罐，包括fireeye产品一套六个蜜罐等。

当然 8.23之前写的蜜罐都提交并兑换了等值周边，后面写的目前还存着。前面提交的部分蜜罐被存放到HFish的3.1.4版本内置蜜罐。后续也可能会将部分可公开蜜罐上传到GitHub给大家使用。

蜜罐编写

蜜罐编写在HFish的官方文档有相关教程，通常只需要将需要编写蜜罐的页面使用CTR+S保存到本地，将页面文件名改为index.html，调用到的css和js文件放入文件夹并更改index内文件调用路径。

根据HFis官方要求，将所有资源改为本地调用，检查所有文件内是否存在原访问地址，并将woff，tff等不会自动保存的文件下载到本地。

在index.html的body内嵌入以下代码

<script type="text/javascript">
	var ndScript = document.createElement('script');
			ndScript.src="./portrait.js";
			document.body.appendChild(ndScript);
</script>

将登录页面的表单<form></form>标签作以下更改

<form>标签改为<form method="post" action="/login">，可包含其他内容，但action的与method的值必须为所要求的值，不然无法接收表单信息。

<input type="text" name="username"/>
<input type="text" name="age"/>
<input type="password" name="password">
<input type="submit" value="提交"/>

如上，所有input的name必须改为上面指定的值，type="submit"后面value的值可以更改。如果提交标签使用的是<button>的话，可以将button标签改为input标签。

将蜜罐文件打包并命名为service-<name>.zip的形式

完成以上步骤后，在自己的云服务器或者虚拟机内部署HFish蜜罐并在服务管理上传自定义蜜罐。

在节点管理处引用上传的蜜罐并访问蜜罐页面，测试表单收集信息是否成功，在账号资产处查看是否存在相关资产（所提交的表单内容）

验证过后即可提交该zip压缩包给产品部。

结语

以上即笔者与HFish蜜罐打交道以来的部分内容。不得不说，HFish确实是一款不错的产品，也是免费开源的企业级蜜罐，在情报收集，以及内网监测一块具有不少的贡献。大家想要使用威胁捕捉与诱骗系统也可以部署HFish蜜罐体验一番。同时也希望HFish蜜罐在数据库查询一块以及在一些细节问题能够进一步优化。（nginx反向代理修正文章也极限拖延两个月了）