序列
个人博客:https://blog.xenoecho.top
喜欢的朋友可以搜索公众号“泷羽Sec-小篮子”文章中搭建好的虚拟机关注后回复HVV即可获得。安全不知道怎么学习的朋友可以了解一下公众号内的红队全栈公益课,以及OSCP证书报考指南哦!
前言
最近很多师傅去面试HVV但是又缺少相关的安全设备经验。想要去了解但是苦于找不到门路。这时候不如尝试使用一些“软设备”来学习。结合国内一些厂商的的提供的社区版来搭建和使用。这里的WAF我就使用长亭的雷池,蜜罐话就用微步的Hfish。搭建的话都支持一件部署的。
雷池搭建
这里我直接举例自动安装,其他方式话可以参照官网文档进行搭建。
打开终端执行下方命令,确保当前用户为root用户。选择安装,docker环境话记得会提示,选择安装即可。
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"
环境安装后后会提示WAF的安装目录,没有什么需求话默认回车即可。等待安装完成后会给出帐号密码,访问对应9443端口登录即可。浏览器可能会报证书安全问题,这个是正常情况,坚持访问即可。
打开后的样子是这样的。
Hfish搭建
这里我直接举例docker部署,其他方式话可以参照官网文档查看
首先要确保具有docker环境,这里直接使用上一个安装的。默认的话可能需要换源,请自行更换。
docker version
然后执行安装命令,等待拉取成功即可。
docker run -itd --name hfish \
-v /usr/share/hfish:/usr/share/hfish \
--network host \
--privileged=true \
threatbook/hfish-server:latest
然后浏览器访问注意这里是https协议。打开后默认页面是这样使用默认密码登录。
登陆地址:https://[server]:4433/web/
初始用户名:admin
初始密码:HFish2021
然后就是部署蜜罐了,我这里选择内网环境的。
然后返回首页后页面是这样子的。
雷池WAF基本配置
本地搭建的为社区版,能示范的功能没那么多,可以去访问长亭给的demo测试站,不过话也只能预览页面。
首先我在本地的3356端口起了个sqllab,用来模拟代理的站点,正常服务端口不对外开放或者使用另一个服务器。
然后选择添加站点,利用雷池WAF的反向代理功能将80端口指向3356端口,这样访问80端口的时候WAF就能将流量转发到3356端口。但是如果说你直接在3356端口上测试,那么肯定是拦截不到的。
攻击测试
这时候尝试去注入看看。就会发现被拦截并报警了。
然后返回WAF的防护日志也能够看到。
尝试使用sqlmap简单的去测试一下也都被拦截了。并且也都被记录在日志上了。
添加黑名单
刚刚使用本机的地址去测试了一下,但是在真实环境中如果发现大量的恶意请求就可以将ip加入黑名单。
在防护配置这边,添加一个自定义规则,按照需求配置规则就行,我这里直接封掉我刚刚测试的ip
然后去访问,就会发现已经被拦截了。
防护模块
为对厂商表示尊敬肯定防御拉满(手动狗头)
速率限制
可限制单次限制速率,一旦超过就直接封ip,不用手动封了。
Hfish蜜罐配置
首先要知道节点,默认话就有一个内置节点,这个节点上面的服务也就是前面部署的时候选择部署的。对应服务的蜜罐则会在对应的服务的默认端口上。当然你也可以对其进行添加和修改。具体的话可以查看官方文档这里我就列举几个重要的。
修改蜜罐服务端口
点击旁边的编辑按钮即可,这个要注意,你修改后的端口必须要未开放的,或者说就没有服务使用这个端口,例如我这里的tomcat默认的端口已经被使用了,于是我更改到了8888。
添加蜜罐服务
点击下方的添加服务即可添加新的蜜罐,默认是使用对应web应用或者服务的默认端口。
攻击列表
将会把一段时间内,同一IP、同一蜜罐的同一攻击者行为聚合在一起。
扫描感知
展示蜜罐节点被TCP、UDP和ICMP三种协议的全端口扫描探测行为。
攻击来源
通过汇聚本地蜜罐感知、云端情报、用户自定义情报和溯源反制获得的信息来刻画攻击者画像。大白话来说就是收集打你的ip的信息,数据似乎来自于微步。
帐号资源
收集所有被用来攻击的账号密码,当被攻击者测试的时候就会被记录下来
漏洞模拟
使用本地默认yara规则,对关注的重点攻击行为做实时监控。例如我这里尝试了一下文件包含就被记录到了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
