蜜罐搭建,还原黑客对你服务器的操作过程

2022-12-01 15:24:28 浏览数 (1)

前言:

大家想必都知道蜜罐是什么,蜜罐是蓝队常用反制红队的手段之一,我们通过蜜罐来诱惑红队入侵,然后留下他们的记录,同时可以在蜜罐中加入一些看似重要的文件,其实其中嘿嘿嘿。那么我们今天就来利用一款蜜罐软件来实践一下。

实操:

首先安装环境

1 Kippo 的安装

GitHub 地址:https://github.com/desaster/kippo

安装环境:centos7

为确保蜜罐服务器的安全,建议在 windows 服务器上安装 vmware,然后安装 centos。

下载代码、安装相关的依赖:

代码语言:javascript复制
[root@bai64 ~]# yum install python-zope-interface python-pyasn1 -y 
[root@bai64 ~]# yum install -y python-twisted* 
[root@bai64 ~]# yum -y install python-devel mysql-devel 
[root@bai64 ~]# yum install -y python2-paramiko 
[root@bai64 ~]# yum -y install epel-release
[root@bai64 ~]# yum -y install python-pip 

pip install twisted==15.2.0 #下载太慢了

解决方法:使用清华的 python 源下载安装包

代码语言:javascript复制
[root@bai64 ~]# pip install -i https://pypi.tuna.tsinghua.edu.cn/simple 
twisted==15.2.0 --trusted-host pypi.tuna.tsinghua.edu.cn 

-i 参数 加源链接

代码语言:javascript复制
[root@bai64 ~]# pip install -i https://pypi.tuna.tsinghua.edu.cn/simple mysql
python --trusted-host pypi.tuna.tsinghua.edu.cn 

安装模块:

代码语言:javascript复制
[root@bai64 ~]# pip install -i https://pypi.tuna.tsinghua.edu.cn/simple pycrypto 
--trusted-host pypi.tuna.tsinghua.edu.cn 

因为 kippo 不能以 root 运行,所以新建一个 kippo 账号

[root@bai64 ~]# useradd -d /kippo kipp

注:可以使用一键搭建

工具文章末尾给大家

然后上传工具包中的kippo

上传后解压unzip kippo.zip

代码语言:javascript复制
[root@bai64 ~]# cp -r kippo/ /kippo/ //为了给后面新建的账户权限用
[root@bai64 ~]# chown -R kippo:kippo /kippo //给前面新建的账号的权限

安装 mysql

代码语言:javascript复制
[root@bai64 ~]# yum install mariadb-server mariadb -y 
[root@bai64 ~]# systemctl start mariadb 

登录 mysql,创建数据库和账号

代码语言:javascript复制
[root@bai64 ~]# mysql 
MariaDB [(none)]> create database kippo; 
MariaDB [(none)]> GRANT ALL PRIVILEGES ON kippo.* TO kippo@localhost IDENTIFIED BY '123456'; 

//在mysql中新建了一个kippo账户,设置密码为123456

退出 mysql

代码语言:javascript复制
MariaDB [(none)]> exit; 

测试登录

代码语言:javascript复制
[root@bai64 ~]# mysql -u kippo -p123456 

初始化数据表 (这里新建了一个名叫kippo的库,然后将kippo的数据导入进去)

代码语言:javascript复制
[root@bai64 ~]# mysql -ukippo -p -Dkippo < /kippo/kippo/doc/sql/mysql.sql 

在/kippo/kippo 下面复制配置文件,并修改相应的配置

代码语言:javascript复制
[root@bai64 ~]# cd /kippo/kippo/ 
[root@bai64 kippo]# cp kippo.cfg.dist kippo.cfg 
[root@bai64 kippo]# vim kippo.cfg 
代码语言:javascript复制
改: 
163 #[database_mysql] 
164 #host = localhost 
165 #database = kippo 
166 #username = kippo 
167 #password = secret 
168 #port = 3306 
为: 
[database_mysql] 
host = localhost 
database = kippo 
username = kippo 
password = 123456 
port = 3306 

注:这里的密码是数据库kippo权限的密码,也是用来诱惑对方的弱密码

代码语言:javascript复制
[root@bai64 kippo]# su - kippo 
[kippo@bai64 ~]$ cd kippo/
[kippo@bai64 kippo]$ chmod  x start.sh
[kippo@bai64 kippo]$ ./start.sh

如果启动失败,可能是前面环境安装失败,建议重新恢复快照,重新安装一遍

下图是正常安装的情况

我们通过查询端口的开启使用情况来看我们是否开启成功

netstat -antup | grep :22

这里开启了2222端口,证明开启成功了

代码语言:javascript复制
systemctl disable firewalld && systemctl stop firewalld //关闭防火墙
cat data/userdb.txt //查看登录的账号密码,这里可以自己添加

这里我们使用另一台机器进行登录

这里我们就是模拟黑客的登录,假设我们的机器被入侵了

输入123456的密码,进去之后执行一些命令

我们到蜜罐中查看登录之后的日志

代码语言:javascript复制
[kippo@bai64 kippo]$ tail -f /kippo/kippo/log/kippo.log 

这里包含了登陆者的IP,登录者执行的命令,我们还可以回放对方的操作

先给

代码语言:javascript复制
chmod  x /kippo/kippo/utils/playlog.py

这个playlog就是回放操作的文件,给他加一个执行权限然后我们运行并且指定记录文件

cd log/tty/ 到这个目录下,可以查看记录

代码语言:javascript复制
/kippo/kippo/utils/playlog.py 20220413-135434-4973.log

使用playlog.py然后指定日志,会回放入侵之后的操作。相当于一个回放,很有意思。

到这里蜜罐服务器的搭建就完成了。

关于回放功能使用的一些小技巧:

有录制就有播放,就像录视频一样,执行下面这个命令即可,时序文件在前,命令文件在后

代码语言:javascript复制
[root@bai ~]# scriptreplay 1111.file 1111

如果操作过程比较长怎么办?比如黑客做了 5 个小时操作,难道我们需要看 5 个小时?

scriptreplay 命令带有一个-d 的选项,用于快放的,比如我们可以快放 10 倍,这样就可以节约很

多时间了

代码语言:javascript复制
[root@bai ~]# scriptreplay -d 10 xuegod.file xuegod

自动触发监控,黑客登陆的操作与实时监控

思路:用户登录到系统后,自动触发 script 录屏,并记录登录时间、登录的用户。

这个时候就只要让 script 命令在登录时自动运行,我们可以把它添加进 shell 环境配置文件中。

创建一个目录用于存放录制后的文件,这里我故意伪装为 dhcpd,让黑客不容易察觉到

代码语言:javascript复制
[root@bai~]# mkdir -p /etc/dhcpd/
[root@bai~]# vim /etc/profile 

#在中间处找个位置写入以下内容

代码语言:javascript复制
script -t -f -q 2>/etc/dhcpd/$USER-$UID-`date  %Y%m%d%H%M%S`.time -a 

/etc/dhcpd/$USER-$UID-`date  %Y%m%d%H%M%S`.his
if [ "$SHLVL" = 1 ]; then
exit
fi

相关工具的获取,关注公众号,发送

代码语言:javascript复制
蜜罐

即可获取!

0 人点赞