护网蓝队-HFish蜜罐的搭建及使用

已于 2024-04-25 17:40:54 修改
阅读量4.6k 收藏 51
点赞数 37
分类专栏: 网络安全 工作分享 文章标签: 笔记 linux 网络安全 web安全 网络攻击模型 安全威胁分析
于 2024-04-25 17:38:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32390591/article/details/138194331
版权

 各地护网陆续又开始了,在网上找到一篇免费开源的蜜罐。由于时间关系,目前仅将环境搭好,还未验证其功能。有时间再补充测试内容

注:

1、本分整理了官网、CatalyzeSec公众号、
玩物丧志的快乐等相关资料,如有侵权,请留言。

2、因为我是验证完成后才截图,需要更新的地方已经完成了更新,因此部分截图可能和实际验证过程不一样

蜜罐HFish介绍

官网:反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台icon-default.png?t=N7T8https://hfish.net/#/

HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。

HFish支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、安全产品、无线AP、交换机/路由器、邮件系统、IoT设备等90多种蜜罐服务、支持用户制作自定义Web蜜罐、支持流量牵引到免费云蜜网、支持可开关的全端口扫描感知能力、支持可自定义的蜜饵配置、一键部署、跨平台多架构,支持Linux x32/x64/ARM、Windows x32/x64平台和多种国产操作系统、支持龙芯、海光、飞腾、鲲鹏、腾云、兆芯等国产CPU、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性,帮助用户降低运维成本,提升运营效率。

1.安装docker环境

1.1、设置镜像仓库地址

阿里云的镜像仓库地址,国内用户不建议使用docker默认的仓库。

yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

1.2安装需要的安装包yum-utils,

yum makecache fase
 

1.3安装docker相关的引擎
#先更新yum软件包索引

     yum makecache fase 

docker社区、ee企业版 ce为社区版 官方推荐使用ce版,默认安装最新的docker版本,也可以指定版本安装

yum install docker-ce docker-ce-cli containerd.io

1.4启动docker
启动命令

systemctl  start  docker

1.5使用docker version 查看dockers是否启动

docker version

以下内容来自公众号

2.安装HFish

docker run -itd --name hfish \
-v /usr/share/hfish:/usr/share/hfish \
--network host \
--privileged=true \
threatbook/hfish-server:latest

复制粘贴执行即可

图片

解释

docker run -d    \
 --name watchtower \
 --restart unless-stopped \
  -v /var/run/docker.sock:/var/run/docker.sock  \
  --label=com.centurylinklabs.watchtower.enable=false \
--privileged=true \
  containrrr/watchtower  \
  --cleanup  \
  hfish \
  --interval 3600

配置后续自动升级,这也是docker安装的一点好处

图片

3.部署HFish

登录地址:https://[server]:4433/web/
初始用户名:admin
初始密码:HFish2021

图片

如果部署在流量一般较小的内网的话选择左边,直接上线,进入会提示修改密码

图片

如果我们想部署在外网的话,SQLite不适应大数据环境和频繁读写的情况,而外网环境一般会遭受较大的流量或频繁的攻击,因此选择MySQL进行部署。

也可以在平台管理的系统配置中进行更换,注意不支持MySQL数据库降级回SQLite,这里MySQL需要自行搭建并创建供HFish存储的库,部署在与HFish相同服务器上的话需要修改端口

图片

使用小皮的话需要将root的地址限制解除,"%"为任何人都可远程连接

update user set host = '%' where user = 'root';
select host, user from user;

图片

可以看到已经监测到了攻击

图片

图片

还有数据大屏可供查看

图片

4、使用

在环境管理的节点管理中可以看到默认部署的一些蜜罐服务

图片

图片

这里我们对蜜罐进行攻击

图片

可以看到攻击次数、攻击IP等信息都被记录了

图片

可以在攻击列表看到攻击的详细信息

图片

请求包具体信息

图片

可以供我们来了解攻击者的手段,制定相应的应对措施

可以在节点管理中添加更多的蜜罐服务,这里添加一个深信服网页防篡改系统的蜜罐

图片

访问:http://192.168.28.128:9298/

图片

对其进行抓包爆破

图片

在账号资源处可以查看到攻击者爆破使用的账号密码,可以获取其字典

图片

更多玩法可以访问官方文档进行查阅学习:

https://hfish.net/#/README

蜜罐搭建使用蓝队利器)
欢迎来到瑆箫博客,专为程序员和编程爱好者打造的技术博客。我们分享编程语言趋势、开发工具、编程哲学、职业发展等,助你掌握新技术,优化技能,激发编程热情。
06-26 918
把蜜饵进一步改造,在word文档,PDF文档中植入一个隐蔽的链接,当攻击者打开这个文件时,链接可以被自动触发,防御者可以借机获取攻击者的真实络地址,浏览器指纹等信息,从而直接溯源定位攻击者真实身份。把恶意访问集中到一起,统一管理,是分布式蜜罐的一种形式,但在蜜场中,攻击者踩中的是虚拟的蜜罐,经过重定向以后,由真实的蜜罐进行响应,再把相应行为传到虚拟蜜罐蜜罐需要基于一个节点进行布置,可以部署在任意的络位置,通常用于收集达到特定络节点的攻击情报,并缓解相同段的其他生产设备与资源收到的攻击。
Anti-honeypot - 自动识别Web蜜罐Chrome插件,附下载链接
TG_punkll的博客
09-09 997
Anti-honeypot - 自动识别Web蜜罐Chrome插件,附下载链接
络攻防之:诱敌深入-蜜罐技术介绍
最新发布
morganmin的专栏
03-31 779
所谓的蜜罐是一种主动防御技术,通过模拟真实的系统、服务或络环境,诱使攻击者对其进行入侵或探测,从而捕获攻击行为、分析攻击手段并收集威胁情报。蜜罐的核心目的是“诱敌深入”——通过伪装成高价值目标吸引攻击者,使其在蜜罐中消耗时间,而真实系统不受影响
HFish蜜罐搭建
jjuuser的博客
03-12 223
4.访问 (自己的vps如果访问4433端口访问不了,可以看看自己vps安全组规则情况)5.账号密码(自己vps搭建的记得改密码)6.配置api key。
Day15 -实例:蜜罐的简单搭建 & 识别工具的使用
2401_84908950的博客
03-26 348
Day15-实例:蜜罐部署和识别 --红蓝对抗
普通人如何建立一个蜜罐
Python84310366的博客
08-12 1192
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析。考虑到全球每39秒就会发生一次网络攻击蜜罐安全防御战略中发挥着重要作用。在沙箱环境中监控网络攻击能够及时发现新的网络安全威胁,并对分析攻击载体提供重要信息。因此,蜜罐是公司和执法部门的理想选择。部署蜜罐可以为企业对抗网络攻击起到缓冲作用,分散攻击方的注意力,使其无法发现专有资产,同时也为监控这些威胁提供了机会。
Docker 搭建HFish蜜罐
KHOST的博客
02-23 2336
HFish 是一款基于 Golang 开发的跨平台多功能主动诱导型开源蜜罐框架系统,为了企业安全做出了精心的打造,全程记录黑客攻击手段,实现防自主化。 1、多功能 不仅仅支持 HTTP(S) 蜜罐,还支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗 等 2、扩展性 提供 API 接口,使用者可以随意扩展蜜罐模块 ( WEB、PC、APP ) 3、便捷性 使用...
HFish蜜罐部署教程(windows版)—HW蓝队主动防御利器
monster663的博客
06-06 6066
一年一度的HW马上又要来了,【不过听说今年推迟了一些】,各位师傅应该都按耐不住了,今天尝试一下比较出圈的HFish蜜罐系统的部署,浅浅的记录一下。
一款安全、简单、有效的蜜罐平台Hfish,windows 搭建教程!
伤心的辣条
04-27 1758
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全能力。本篇文章给大家详细介绍,如何搭建一款安全、简单、有效的蜜罐平台Hfish
【Try to Hack】HFish蜜罐部署
开心星人的博客
07-28 720
的博客主页📆首发时间🌴2022年7月28日🌴HFish是一款社区型免费蜜罐,侧重企业安全场景,从内失陷检测、外威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。使用Docker搭建Hfish蜜罐,项目官方地址https拉取镜像创建并启动容器21为FTP端口22为SSH端口23为Telnet端口3306为Mysql端口6379为Redis端口。...
HFish 蜜罐安装
lfy012126的博客
05-31 425
安装完成之后输入IP地址,IP地址的格式是https://[ip]:4433/web/,做实验的机子的IP地址是192.168.117.131,所以在浏览器里面输入的是https://192.168.117.131:4433/web/,这个时候就会进入登录页面。请防火墙开启4433、4434和7879,确认返回success(如果有其他服务需要打开端口,使用相同命令打开。在点击首页下面的大屏就进入这个页面至此已经安装完成。选择内环境和简单poc推荐。密码:HFish2021。输入密码之后登录的页面。
hfish蜜罐搭建使用
记录开发和安全学习过程中的点点滴滴
03-08 1860
本次是对自己在学习蓝队过程中的一次对安全设备hfish蜜罐搭建使用考核记录,距离之前已 经过去很久了,对之前在考核过程中的操作进行回顾和总结. 通过此次对于蜜罐的实验搭建与任务操作,使得自己对于蜜罐的操作和使用流程有了进一步了解,熟悉对于此蜜罐的操作,并为自己在安全设备方面填补了一定的空缺,也算提供了一个可以攻击的靶场,方便我可以对很多漏洞进行复现,做到攻防兼备,当然这些都是我两个月前的总结了.。
HW蓝队防守思路 .pdf
04-17
蓝队需要进行天眼检查,流⼊采集、规则更新、使用情况等。 其他安全措施 蓝队需要采取其他安全措施,包括在攻防演习前,梳理业务连续性较低的、存在安全问题的系统下线或HW期间临时关停。 攻防演习前 蓝队需要在...
渗透测试---蓝队基础
2301_79949226的博客
11-14 916
本文主要阐释了蓝队的相关理论知识,希望对大家有帮助咯。
渗透测试-Hfish蜜罐搭建使用
热门推荐
道阻且长,行则将至
10-31 1万+
文章目录蜜罐简介Hfish蜜罐蜜罐搭建攻击蜜罐信息接口集群部署蜜罐小结 蜜罐简介 蜜罐 技术本质上是一种对攻击方进行 欺骗的技术,通过布置一些作为 诱饵的主机、络服务 或者 信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行 捕获 和 分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全能力。 蜜罐 好比是 情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞
hfish 集群蜜罐搭建
weixin_46236101的博客
02-24 1297
一、前言 HFish是一款基于 Golang 开发的跨平台多功能主动攻击型蜜罐钓鱼平台框架系统,为了企业安全测试做出了精心的打造 发布版本下载链接:https://github.com/hacklcx/HFish/releases Github: https://github.com/hacklcs/HFish 多功能 不仅仅支持 HTTP(S) 钓鱼,还支持支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗蜜罐 扩展性 提供 API 接口,使...
蜜罐HFish-搭建教程
Gyingxm的博客
07-25 375
登陆链接:https://[ip]:4433/web/密码:HFish2021。
蜜罐搭建{HFish}
weixin_63265626的博客
04-15 805
一、什么是蜜罐技术蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全能力。二、搭建
开源蜜罐——HFish搭建
negnegil的博客
10-17 8411
开源蜜罐HFish HFish由控制端和节点端组成,控制端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受控制端的控制并负责构建蜜罐服务。 蜜罐可以部署再外,将节点部署在互联区,用来感知互联来自自动化蠕虫、竞争对手和境外的 真实威胁,甚至发现针对客户的 0day攻击,通过和具有情报生产能力的 情报平台 对接,可以稳定准确的生产私有威胁情报。 部署在内,是企业环境 最常见 的使用方法,用来捕捉内已经失陷、勒索软件和恶意行为,重点在于 敏捷准确,具体可细分为 内部办公场景 和 内部
2022蓝队排名
07-27
蓝队排名是指在网络安全竞赛或演练中,参与者根据其在攻防对抗中的表现和得分进行排名。根据提供的引用内容,没有提到2022年的蓝队排名。因此,无法提供关于2022年蓝队排名的具体信息。 #### 引用[.reference_title] - *1* [红蓝对抗-2022年蓝队初级测试总结](https://blog.csdn.net/lza20001103/article/details/126550377)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [2022年蓝队初级总结](https://blog.csdn.net/zlloveyouforever/article/details/125174473)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值