HFish 是一种基于 Golang 开发的跨平台多功能主动诱导型开源蜜罐框架系统,为企业安全防护所做的精心打造,全程记录黑客攻击手段,实现防护自主化。
0X01 什么是 HFish?
HFish是一种基于Golang开发的跨平台多功能主动诱导型开源蜜罐框架系统,为企业安全防护所做的精心打造,全程记录黑客攻击手段,实现防护自主化。
- 多功能不仅仅请立即获取 iTunes HTTP(S)蜜罐,还支持SSH,SFTP,Redis,Mysql,FTP,Telnet,暗网等
- 性扩展提供API接口,使用者可以随意扩展蜜罐模块(WEB,PC,APP)
- 便捷性使用Golang+ SQLite开发,使用者可以在Win+Mac+ Linux上快速部署一套蜜罐平台 什么是蜜罐
0X02 什么是蜜罐?
蜜罐技术本质上的英文一种对攻击方进行欺骗的技术,布置通过一些作为诱饵的中主机,网络服务或者信息,诱使攻击方对它们实施攻击,可以从而攻击对行为进行捕获状语从句:分析,了解攻击方所使用的工具与方法,可能会攻击防御和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比的英文信息酒店收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和突破。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
0X03 Docker 安装
1.root 账户登录,查看内核版本如下
1 | uname -a |
2.把 yum 包更新到最新
1 | yum update |
3.安装需要的软件包, yum-util 提供 yum-config-manager 功能,另外两个是 devicemapper 驱动依赖的
1 | yum install -y yum-utils device-mapper-persistent-data lvm2 |
4.设置 yum 源(选择其中一个)
1 | yum-config-manager --add-repo http://download.docker.com/linux/centos/docker-ce.repo(中央仓库) |
5.可以查看所有仓库中所有 docker 版本,并选择特定版本安装
1 | yum list docker-ce --showduplicates | sort -r |
6.安装 Docker,命令:yum install docker-ce-版本号,我选的是 docker-ce-18.03.1.ce,如下
1 | yum install docker-ce-18.03.1.ce |
- 启动 Docker,命令:systemctl start docker,然后加入开机启动,如下
1 | systemctl start docker |
0X04 单节点部署
Docker 下载镜像
1 | docker pull imdevops/hfish |
单节点部署
环境变量 API_IP 的值为 API 的 IP 地址加端口组成。
默认帐号密码均为:admin,如需修改可以通过加入**-e USERNAME= -e PASSWORD=** 传入环境变量进行修改。
如需做数据持久化存储,可加参数 -v $PWD:/opt 挂载数据卷到宿主机上,避免容器删除数据丢失。
1 | docker run -d --name hfish -p 21:21 -p 22:22 -p 23:23 -p 3306:3306 -p 6379:6379 -p 8080:8080 -p 8989:8989 -p 9000:9000 -p 9001:9001 -p 11211:11211 imdevops/hfish:latest |
21 为 FTP 端口
22 为 SSH 端口
23 为 Telnet 端口
3306 为 Mysql 端口
6379 为 Redis 端口
8080 为 暗网 端口
8989 为 插件 端口
9000 为 Web 端口
9001 为 系统管理后台 端口
11211 为 Memcache 端口
以上端口根据实际需要决定是否打开,并注意端口冲突。
0X05 蜜罐功能展示
找到虚拟机 IP 地址
访问http://192.168.0.122:9001
进入管理页面
0X06 蜜罐 8080 端口功能性测试
访问 8080 端口为 WP 登录页面
使用 BurpSuite 进行抓包爆破测试
Sent to Intruder
选择账户
选择密码
开始爆破攻击
蜜罐后台数据显示
0X07 SSH 蜜罐功能性测试
利用 Xshell 进行连接蜜罐
因为端口冲突,我将虚拟机的 24 端口映射到 22 端口
蜜罐后台监控
