50_蓝队反制工具(蜜罐、堡垒机等)

蓝队反制工具(蜜罐、堡垒机等)

一、Hfish蜜罐

hfish是一款免费开源的蜜罐

在github上就有如何安装
https://github.com/hacklcx/HFish

使用docker下载
https://hfish.net/#/2-1-docker

1. docker安装hfish

在这里插入图片描述

访问路径

https://192.168.11.131:4433/web/

在这里插入图片描述

2. hfish蜜罐的使用

蜜罐的作用
伪装的存在漏洞的网站
让攻击者浪费时间
让攻击者泄露0day

然后详细使用,手册上有写
在这里插入图片描述

3. 使用hfish模拟捕获22端口的攻击

网页上的节点管理,内置节点显示ssh蜜罐开放
在这里插入图片描述
查看kali的本地的端口,可以看到22端口开放,并且属于hfish服务

然后我们使用win10虚拟机模拟ssh攻击

然后在hfish蜜罐上,捕获到了ssh蜜罐的攻击
源IP显示了,时间也显示了
并且使用的账号密码也登陆了

这也就是为什么说蜜罐可以捕获0day,获得攻击者的poc
在这里插入图片描述

4. 失陷感知

失陷感知需要用到蜜饵

蜜饵就是诱饵
我们不知道目标是否打进来
通过设置诱饵,比如说存在config.php配置文件
里面包含了用户名root和密码helloworld123456
攻击者如果获得并读取到这个诱饵文件,使用给出的账户密码尝试登录
那么我们这边就会提示攻击者已经打进来了

蜜饵放置在后面,就是判断攻击者是否攻击
蜜饵如果放置在前面,就是用来浪费攻击者时间

在这里插入图片描述
按照下面步骤建立蜜饵

文件内容给了示例
选择左边的复制
然后我们改改名称,伪装一下
账户密码不用改
会自动生成

在这里插入图片描述

使用获取的命令下载蜜饵文件

可以看到密码自动生成一个
攻击者看到这个,肯定想尝试进行登录

模拟攻击者登录

失陷感知告警

5. 高交互式蜜罐

在这里插入图片描述

什么叫交互式
我们使用ssh登录root账户,账户密码都是root
可以看到我们登录成功
但是任何命令都无法执行
这种就叫低交互式

如果攻击者成功登录,看到这种低交互式的命令,一下子就知道使用了蜜罐
在这里插入图片描述
我们需要将一些基本的命令上传
让攻击者登录之后可以执行一些命令
攻击者以为自己已经打穿了服务器,其实还是在我们的蜜罐中
这种很像我们的服务器的就叫做高交互式

下面设置高交互式蜜罐
在这里插入图片描述

像这种就比之前能执行的命令多了
但还是命令过少,需要完善

攻击列表可以看到攻击详情

6. hfish自定义web蜜罐

先下载service-demo.zip
在这里插入图片描述
service-demo.zip里面就是一个登录框

我们来模拟一个网站的登录界面
比如说bihuo.cn
http://www.bihuo.cn/login?goto=/

根据示例的service-demo.zip里面的index.html修改网页源代码

这几处必须一模一样
然后文件和目录不能有中文
html文件必须为index.html
在这里插入图片描述

然后打包
包名service-xxx.zip

在这里插入图片描述

二、Ehoney蜜罐

GitHub上有开源代码
https://github.com/seccome/Ehoney
在这里插入图片描述

1. 安装ehoney蜜罐

在这里插入图片描述

2. 使用ehoney蜜罐

参考使用手册
https://seccome.github.io/Ehoney/QuickStart/Start/

这里这个文档写的和安装的东西有差别,并不是完全一致的
因此实验没成功,这东西看看了解就行,没之前的hfish好用
我这里就不详细介绍了

在这里插入图片描述

三、堡垒机

1. 概念

堡垒机可以设置每个用户执行功能的权限
并且可以记录用户的行为日志
运维人员更多要接触堡垒机

堡垒机本质上就是所有的远程连接均需要通过堡垒机固定的接口进行登录
无需将密码交给具体的运维人员
在这里插入图片描述

在这里插入图片描述
堡垒机的4A认证

2. jumpserver堡垒机

在GitHub上有开源代码
https://github.com/jumpserver/jumpserver

在这里插入图片描述

https://docs.jumpserver.org/zh/master/install/setup_by_fast/#_3

curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.28.6/quick_start.sh | bash

在这里插入图片描述

(1) 创建资产

在这里插入图片描述

(2) 创建特权用户

在这里插入图片描述

成功创建特权用户

(5) 创建资产

在这里插入图片描述
资产主机先开启rdp服务的3389端口

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

在这里插入图片描述

(6) 创建数据库应用

在这里插入图片描述
资产主机先创建一个数据库test

(7) 创建系统用户

在这里插入图片描述

(8) 创建授权规则

在这里插入图片描述

(9) 用户登录资产

在这里插入图片描述

3. 其它堡垒机

Github上有一篇文章总结了很多开源项目
https://github.com/birdhan/SecurityProduct

在这里插入图片描述

三、OSSEC入侵检测系统(hids)

在这里插入图片描述

1. 环境搭建

docker pull atomicorp/ossec-docker
docker run -d -p 1514:1514/udp -p 1515:1515/tcp bbd2bac66fd9

在这里插入图片描述

2. 使用ossec

参考文章
https://github.com/ossec/ossec-docker

我这里也只是部署了下,如何使用还没有完成
有兴趣的可以自己去百度
在这里插入图片描述

标签： linux 安全服务器

本文转载自: https://blog.csdn.net/qq_45301512/article/details/128670388
版权归原作者 Beilay() 所有，如有侵权，请联系我们删除。

50_蓝队反制工具(蜜罐、堡垒机等)

蓝队反制工具(蜜罐、堡垒机等)

一、Hfish蜜罐

1. docker安装hfish

2. hfish蜜罐的使用

3. 使用hfish模拟捕获22端口的攻击

4. 失陷感知

5. 高交互式蜜罐

6. hfish自定义web蜜罐

二、Ehoney蜜罐

1. 安装ehoney蜜罐

2. 使用ehoney蜜罐

三、堡垒机

1. 概念

2. jumpserver堡垒机

(1) 创建资产

(2) 创建特权用户

(5) 创建资产

(6) 创建数据库应用

(7) 创建系统用户

(8) 创建授权规则

(9) 用户登录资产

3. 其它堡垒机

三、OSSEC入侵检测系统(hids)

1. 环境搭建

2. 使用ossec

发表评论

“50_蓝队反制工具(蜜罐、堡垒机等)”的评论:

关于作者

overfit同步小助手

相关阅读

文章导航