蜜罐安装和部署

蜜罐安装和部署

实验步骤：

安装和部署蜜罐：

打开win7使用Xshell去连接蜜罐服务器，去上传web访问网页的软件包

连接到蜜罐服务器之后，由于Xshell上传用命令执行上传会出现乱码，首先在win7上开启http.server服务器，去用wget命令去进行离线下载蜜罐软件包

配置网络环境，解压Hfish离线安装包，执行install.sh脚本开始安装

#根据官网安装，需要使用firewall防火墙来放通4433以及4434端口

firewall-cmd --add-port=4433/tcp --permanent #用于web界面启动

firewall-cmd --add-port=4434/tcp --permanent #用于节点与管理端通信

firewall-cmd --reload

tar -zxvf hfish-3.1.4-linux-amd64.tgz 解压hfish软件包

./install.sh #执行安装脚本

在win7主机打开浏览器访问地址https://192.168.0.3:4433/web/，账号/密码（admin/HFish2021），查看是否登录成功

成功登陆后，进入Hfish的数据库选择页面，这里实验我们选择左边SQLite本地数据库

添加蜜罐：

选择首页左边标签【环境管理】—>【节点管理中】找到节点信息192.168.0.3，同时选择192.168.0.3节点【操作】中的【展开】选项，查看一些节点已经创建好的蜜罐服务

可以看到，默认Hfish安装完成后，节点会自动创建9个蜜罐服务，都是常见的这些蜜罐服务伪装成了常见的服务端口

添加蜜罐服务：

选择添加蜜罐服务，再创建一些蜜罐服务，比如添加一个企业开发经常用的自动化发布平台Jenkins

在蜜罐服务器上，放通蜜罐服务的端口，在win7的主机上，使用Xshell登录到蜜罐服务器上，放通8080端口

firewall-cmd --add-port=8080/tcp --permanent #放通8080端口

systemctl restart firewalld #重启防火墙

firewall-cmd --zone=public --list-ports #“--zone=public”标售查看公共区域的防火墙规则，“--list-ports”表示列出开放的端口表

访问测试，在win7主机上，打开浏览器访问地址https://192.168.0.3:8080查看是否可以访问蜜罐服务（伪造的Jenkins平台）然后再伪装的Jenkins平台输入账号admin密码admin，看看返回（是一个中交互蜜罐服务）

查看蜜罐的账号密码捕获，上一步输入用户名和密码后，在左边选择【威胁实体】—>【账号资产】，可以看到蜜罐捕获到的攻击者/访问者输入的用户名和密码信息

设置企业账号密码监控，假设企业内有个开发，有个真实的Jenkins的平台，用户名是dever，密码为1qazcde3!@#，可以把这个用户名和密码放到企业信息监控里面，当蜜罐捕获到同样的用户名、密码时，说明这个开发账号、密码泄露了，需要赶紧整改

然后在蜜罐服务伪装的Jenkins平台，https://192.168.0.3:8080，输入账号dever，密码1qazcde3!@#后，再看看账号资产的监控信息

可以看到，账号资产的监控信息中，企业信息监控捕获到一些泄露事件

添加蜜饵：

首先开启ssh的蜜罐服务，ssh蜜罐默认端口是22，由于和真实ssh服务冲突，默认是不启动的，将它改为飞默认端口，比如2911，它就会自动化启动了

开启后，在win7使用连接到蜜罐服务器（192.168.0.3），执行命令

firewall-cmd --add-port=2911/tcp --permanent

systemctl restart firewalld

创建蜜饵，在【威胁感知】——>【失陷感知】——>【诱饵管理】里面，新建诱饵

新增添加步骤

分发蜜饵：

在【环境管理】——>【节点管理】，打开右边页面实现蜜饵状态的开关

弹出的对话框选择上一步创建的蜜饵文件，IP地址选择蜜罐节点192.168.0.3

开启后，在win7使用Xshell连接到蜜罐服务器（192.168.0.3），执行命令

firewall-cmd --add-port=7878/tcp --permanent #放通7878端口

systemctl restart firewalld

下载蜜饵，需要在win7电脑上，放上一步分发的蜜饵文件config，因此在win7电脑打开cmd命令行窗口，执行上一步提示的命令

Win7主机下载蜜饵文件成功

下载目录可以看到蜜饵config.txt文件

关闭蜜饵下载，当前蜜饵文件都分发完毕后，没有节点主机再需要蜜饵文件，则在win7使用Xshell连接到蜜罐服务器（192.168.0.3），执行命令

firewall-cmd --remove-port=7878/tcp --permanent #关闭7878端口

systemctl restart firewalld

放通ssh蜜罐服务登录，在【环境管理】——>【节点管理】—右边—【ssh蜜罐】——>【操作】

将passwd改为蜜饵文件中的密码，然后应用到所有

测试蜜饵情况

1.按照步骤，首先登录kali（192.168.0.4）使用rdesktop远程登录到win7主机

rdesktop 192.168.0.2 #远程登录

2.攻击者登录到攻陷的win7主机通过扫描拿到了蜜饵配置文件config.txt

3.攻击者直接在失陷主机打开Xshell，使用拿到的蜜饵配置文件config.txt登录到蜜罐ssh服务

攻击者的流程走完后，在【威胁感知】——>【失陷感知】—右边—>【诱饵数据】，找到失陷的蜜饵，单击文件图片，可以查看到详细信息

蜜罐情报分析

kali攻击机（192.168.0.4）使用nmap -p 1-10000 192.168.0.3 -v，扫描端口

在蜜罐管理平台查看威胁记录，在【威胁感知】——>【扫描感知】可以看到扫描记录

在【威胁实体】——>【攻击来源】可以看到扫描情况，同时点几操作里面的详情可以查看攻击的IP画面