Hfish蜜罐搭建(docker&ubuntu)

最新推荐文章于 2024-05-24 10:39:17 发布
最新推荐文章于 2024-05-24 10:39:17 发布
阅读量888 收藏 5
点赞数
文章标签: docker java linux mysql 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37602797/article/details/117811815
版权

​最近快HW啦,Hfish蜜罐呼声很高,尝试搭建一下。


v2-a4a03c07b43b7e9fec88a2019aa44e21_b.jpg


项目地址

github.com/hacklcx/HFis

hfish.io/

支持的蜜罐类型:


v2-6ddd9af564e05b542af61f4a4c608b8b_b.jpg


官方安装指导:(docker版本操作很简单)

hfish.io/docs/#

docker安装

docker安装:

Docker 下载镜像(目前测试的docker版本是0.6的)

dockerpull imdevops/hfish


v2-aa80a015a5c31ab46775b0f2795282f4_b.png


单节点部署(本次主要是个人云服务器搭建)

环境变量API_IP的值为 API 的 IP 地址加端口组成。

默认帐号密码均为:admin,如需修改可以通过加入-e USERNAME= -e PASSWORD= 传入环境变量进行修改。(也可以启动容器后,进入容器配置 config.ini配置账户密码)

如需做数据持久化存储,可加参数 -v $PWD:/opt 挂载数据卷到宿主机上,避免容器删除数据丢失。

启动docker

dockerrun -d --name hfish -p21:21-p22:22-p23:23-p69:69-p3306:3306-p5900:5900-p6379:6379-p8080:8080-p8081:8081-p8989:8989-p9000:9000-p9001:9001-p9200:9200-p11211:11211--restart=always imdevops/hfish:latest

端口对应也可以自己修改(-p 22:22 第一个22是主机端口,第二个22是docker映射出来的端口)可以根据自己主机情况改变

访问管理的端口:ip+9001(管理端口可以修改)


v2-cbf6b3c65ecabb451abc4380e1b3fa5c_b.jpg


搭建时候修改了端口和密码

启动后进入docker容器

dockerexec-it 容器id sh

进去后可以修改端口和密码

vi Hfish/config.ini


v2-313346a05db4c6023b1f2e6421361dd4_b.jpg


[admin]# RPC 状态为2 集群客户端的时候 admin 可以删掉addr = 0.0.0.0:1234# 管理后台启动地址account = admin# 登录账号,不能带 #password =# 登录密码,不能带 #attack_city = 北京# 数据大屏攻击地区设置db_type = sqlite# sqlite or mysqldb_max_open = 50# 最大连接池,0 表示无限制db_max_idle = 50# 最大空闲数,0 表示无限制db_str = ./db/hfish.db?cache=shared&mode=rwc# sqlite or mysql 连接字符串# sqlite : # mysql :

端口关系:

21为 FTP 端口22为 SSH 端口23为 Telnet 端口3306为 Mysql 端口6379为 Redis 端口8080为 暗网 端口8989为 插件 端口9000为 Web 端口9001为 系统管理后台 端口11211为 Memcache 端口69为 TFTP 端口5900为 VNC端口8081为 HTTP代理池 端口9200为Elasticsearch端口以上端口根据实际需要决定是否打开,并注意端口冲突。

还有一个注意:

report_key和query_key建议修改一下,防止数据被被人拿走

[api]status = 1# 是否启动 API 0 关闭 1 启动web_url = /api/v1/post/report# WEB蜜罐上报 APIdeep_url = /api/v1/post/deep_report# 暗网蜜罐上报 APIplug_url = /api/v1/post/plug_report# 插件蜜罐上报 APIreport_key = APIKEY# API 上报认证秘钥 默认值 9cbf8a4dcb8e30682b927f352d6559a0query_key = APIKEY# API 查询认证秘钥 默认值 X85e2ba265d965b1929148d0f0e33133

还有一些其他的属性都可以调整,详情看config.ini(默认相关信息)

[rpc]

status= 0#模式 0关闭 1服务端 2客户端

addr= 0.0.0.0:7879#RPC 服务端地址 or 客户端地址

name= Server#状态1 服务端 名称 状态2 客户端 名称

[admin]#RPC 状态为2 集群客户端的时候 admin 可以删掉

addr= 0.0.0.0:9001#管理后台启动地址

account= admin#登录账号,不能带 #

password= admin#登录密码,不能带 #

attack_city= 北京#数据大屏攻击地区设置

db_type= sqlite#sqlite or mysql

db_max_open= 50#最大连接池,0 表示无限制

db_max_idle= 50#最大空闲数,0 表示无限制

db_str= ./db/hfish.db?cache=shared&mode=rwc#sqlite or mysql 连接字符串

#sqlite : ./db/hfish.db?cache=shared&mode=rwc

#mysql : 账号:密码@tcp(地址:端口)/数据库名?charset=utf8&parseTime=true&loc=Local

[api]

status= 1#是否启动 API 0 关闭 1 启动

web_url= /api/v1/post/report#WEB蜜罐上报 API

deep_url= /api/v1/post/deep_report#暗网蜜罐上报 API

plug_url= /api/v1/post/plug_report#插件蜜罐上报 API

report_key= 9cbf8a4dcb8e30682b927f352d6559a0#API 上报认证秘钥

query_key= X85e2ba265d965b1929148d0f0e33133#API 查询认证秘钥

[plug]

status= 1#是否启动 蜜罐插件 0 关闭 1 启动, 需要先启动 API

addr= 0.0.0.0:8989#蜜罐插件 启动地址

[web]

status= 1#是否启动 WEB 1 启动 0 关闭, 启动 API 后 WEB 方可上报结果

addr= 0.0.0.0:9000#WEB 启动地址,0.0.0.0 对外开放,127.0.0.1 对内开放 可走 Nginx 反向代理

template= wordPress/html#WEB 模板路径

index= index.html#WEB 首页文件

static= wordPress/static#WEB 静态文件路径 注意:必须存在两个目录,html 文件 和静态文件 不能平级

url= /#WEB 访问目录,默认 / 可更改成 index.html index.asp index.php

[deep]

status= 1#是否启动 暗网 1 启动 0 关闭, 启动 API 后 方可上报结果

addr= 0.0.0.0:8080#暗网 WEB 启动地址

template= deep/html#暗网 WEB 模板路径

index= index.html#暗网 WEB 首页文件

static= deep/static#暗网 WEB 静态文件路径 注意:必须存在两个目录,html 文件 和静态文件 不能平级

url= /#暗网 WEB 访问目录,默认 / 可更改成 index.html index.asp index.php

[ssh]

status= 2#是否启动 SSH 0 关闭 1 低交互 2 高交互

addr= 0.0.0.0:22#SSH 服务端地址 注意端口冲突,请先关闭服务器 openssh 服务 或 修改端口

[redis]

status= 1#是否启动 Redis 0 关闭 1 启动

addr= 0.0.0.0:6379#Redis 服务端地址 注意端口冲突

[mysql]

status= 1#是否启动 Mysql 0 关闭 1 启动

addr= 0.0.0.0:3306#Mysql 服务端地址 注意端口冲突

files= /etc/passwd,/etc/group#Mysql 服务端读取客户端任意文件; 多写逗号分隔,会随机取

[telnet]

status= 1#是否启动 Telnet 0 关闭 1 启动

addr= 0.0.0.0:23#Telnet 服务端地址 注意端口冲突

[ftp]

status= 1#是否启动 Ftp 0 关闭 1 启动

addr= 0.0.0.0:21#Ftp 服务端地址 注意端口冲突

[mem_cache]

status= 1#是否启动 MemCache 0 关闭 1 启动

addr= 0.0.0.0:11211#Memcache 服务端地址 注意端口冲突

[http]

status= 1#是否启动 HTTP代理 0 关闭 1 启动

addr= 0.0.0.0:8081#HTTP代理地址 注意端口冲突

[tftp]

status= 1#是否启动 tftp 0 关闭 1 启动

addr= 0.0.0.0:69#tftp 服务端地址 注意端口冲突

[elasticsearch]

status= 1#是否启动 ES蜜罐 0 关闭 1 启动

addr= 0.0.0.0:9200#ES蜜罐 服务端地址 注意端口冲突

[vnc]

status= 1#是否启动 VNC蜜罐 0 关闭 1 启动

addr= 0.0.0.0:5900#VNC蜜罐 服务端地址 注意端口冲突

linux服务安装(ubuntu)

安装注意(使用 0.6.3 ,请先下载 0.6.2,然后把 0.6.3 覆盖到 0.6.2 程序内。)

不然下载没法运行(./Hfish)

下载自己操作系统对应的版本:


v2-1a807404732d3336df691be93c50659a_b.jpg



v2-eaf65668aaed77796408847f8a19d836_b.jpg


下载解压

tar-zxvfHFish-0.6.2-linux-amd64.tar.gztar-zxvfHFish-0.6.3-linux-amd64.tar.gz

将0.6.3里面的文件覆盖到0.6.2


v2-e268564684c46547ab1893bc4b1d27ad_b.png


chmod777-R db# sqlite 临时文件需要最高权限


v2-b76ab4a099128ac950df3433c7d34355_b.jpg


./HFish run

访问ip+9001管理界面就OK


v2-5b479d2d34a8da4867a1506c29c8cf5f_b.jpg


如果需要修改端口、密码、服务相关配置,看docker部分的修改配置方法(配置方式一样)

最终效果图

仪表盘效果


v2-f676ed5f215a443997d034129cf24cff_b.jpg



v2-f8369f186061de81fde2565ac69e9492_b.jpg



v2-32cb9706a36138dd727e45ec68a65cbd_b.jpg



v2-577faf58d257d20cd0cf387b69dfae1e_b.jpg



v2-37a754dcb7a166f7efc4833091d901d3_b.jpg


搭建起来效果很不错。数据展示还有过程记录还是不错的。

补充:本文只搭建了单节点部署如果需要集群部署移步(hfish.io/

参考:

github.com/hacklcx/HFis

hfish.io/

hfish.io/docs/#

订阅查看更多复现文章、学习笔记

thelostworld

安全路上,与你并肩前行!!!!


v2-c80c87cb78cf66222785b2baa2a6c6f9_b.jpg


个人知乎:zhihu.com/people/fu-wei

个人简书:jianshu.com/u/bf0e38a8d

原文连接:

Hfish蜜罐搭建(docker&ubuntu)

thelostworld-公众号
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
manuka:基于 Docker蜜罐 (Dionaea & Kippo)
06-17
manuka - docker 蜜罐设置脚本 运行和脚本。 下一次迭代将所有依赖项粘贴到 Docker 镜像中,这应该使它在操作系统之间更兼容。 先决条件 # docker 1.3+ and docker-compose installed sudo apt-get update && sudo...
Ubuntu安装部署HFish蜜罐系统在线安装非docker部署
qq_58158721的博客
12-28 648
ubuntu安装HFish蜜罐系统 第一步: sudo apt install firewalld
Docker安装蜜罐Hfish
l1677516854的博客
03-16 735
无意中发现公司的一台服务器被爆破,修改了密码,为了确定内网是否安装需要搭建一个蜜罐来看一下是否存在隐患。如何安装Docker,请查看我另一篇文章。
docker 中安装蜜罐
最新发布
weixin_45631123的博客
05-24 246
这个命令将在后台运行蜜罐容器,将容器的2222端口映射到主机的2222端口。从Docker Hub上找到适合的蜜罐镜像,这里以Cowrie为例。如果看到了cowrie容器正在运行,则表示蜜罐已成功安装并运行。确保已经安装了Docker并启动了Docker服务
基于Docker快速搭建蜜罐Dionaea(30)
yyj1781572的博客
03-10 1267
本节实验将介绍如何基于Docker快速部署蜜罐dionaea。
Docker容器搭建conpot蜜罐
qq_43629220的博客
03-30 1134
可以在下载安装,直接点击“下一步”,安装完成!
网安工具系列:HFish蜜罐部署教程(windows版)-HW蓝队主动防御利器
01-10
HFish是一款由HW团队开发的高性能蜜罐系统,适用于蓝队进行网络安全防护。本教程将详细讲解如何在Windows环境下部署HFish,以提升网络安全防御能力。 首先,我们需要了解HFish的基本概念。HFish是一款多平台、高...
网安工具系列:HFish蜜罐的介绍和简单测试(win7环境下)
01-10
HFish,全称海龟蜜罐,是一款开源、跨平台的高级蜜罐系统,设计用于模拟真实网络环境,吸引并记录黑客的攻击行为。在本篇文章中,我们将深入探讨HFish蜜罐的基本原理、功能特性以及如何在Windows 7环境下进行安装和...
HFish跨平台蜜罐平台-其他
06-12
HFish 是一款基于 Golang 开发的跨平台蜜罐平台,为了企业安全做出了精心的打造。 特点: 多功能:不仅仅支持 HTTP(S) 蜜罐,还支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗网 等 扩展性:提供 API 接口,使用者...
《honeyd蜜罐简易部署——ubuntu》适用资源.zip
02-26
《honeyd蜜罐简易部署——ubuntu》是一个指导性教程,旨在帮助用户在Ubuntu操作系统上快速设置和运行Honeyd蜜罐系统。蜜罐技术是一种网络安全防御策略,它通过模拟真实系统来诱骗攻击者,收集攻击者的活动信息,同时...
Docker项目实战】使用Docker部署HFish蜜罐系统
jks212454的博客
04-24 581
Docker项目实战】使用Docker部署HFish蜜罐系统
Docker自建蜜罐系统【失陷检测、外网威胁感知、威胁情报】
qq_24442273的博客
03-13 762
Hfish是一款基于Docker的网络钓鱼平台,它能够帮助安全团队模拟各种网络钓鱼攻击,以测试和提高组织的安全防御能力。
使用Docker快速搭建Hfish蜜罐
kuokay的博客
01-04 1641
HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性,帮助用户降低运维成本,提升运营效率。
hfish蜜罐docker部署
qq_24768591的博客
01-07 955
完成watchover配置后,后续如果还需手动升级,只需要执行 docker start watchtower 和 docker stop watchtower 即可,不需要反复配置watchover。如果用户不慎忘记HFish Web管理端admin密码,可以按照如下步骤强行重置。
基于docker蜜罐学习
hl1293348082的专栏
04-04 340
学习蜜罐之间先介绍两个概念,低交互式蜜罐和高交互式蜜罐。 低交互式蜜罐 低交互式蜜罐只是模拟出了真正操作系统的一部分,例如模拟一个 FTP 服务。虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻击,从而使蜜罐在这种情况下失效。 高交互式蜜罐 高交互式蜜罐是一部装有真正操作系统,并可完全被攻破的系统。与攻击者进行交互的是一部包含了完整服务的真实系统。用于网络安全的高交互式蜜罐提供了真实操作系统的服务和应用程序,使其可以获得关于攻击者更可靠的信息。但是部署和维护
docker部署之开源蜜罐HFish
大雾
02-26 535
显示当前正在运行的容器列表,包括其容器 ID、镜像、创建时间、状态等信息。如果要查看所有的容器(包括已停止的容器)启动镜像 (桥接不然容器ping不通)获取容器的 ID,可以使用。这个需要在宿主机输入。
搭建蜜罐捕捉在野0day...
热门推荐
leeezp的博客
09-15 32万+
搭建蜜罐捕捉在野0day Docker文件挂载时需留意:用vim进行文件的编辑并保存时,系统采用的是备份、替换的策略,文件用vim等工具编辑的过程实质是,备份原来的文件,当新文件编辑完成后,再将新文件替换文原件,这会导致文件的inode变化,所以docker内外的文件并不会同步。而用echo等重定向操作修改文件时,文件的inode保持不变,所以不会发生类似现象。Linux中,证明文件是否相同的根本途径是,判断其 inode,如果两个文件的inode相同,两个文件必定为同一文件,从而两个文件的内容也必然相同
Cowrie蜜罐:在Docker Ubuntu环境下的搭建
qq_40379977的博客
04-16 673
Docker Ubuntu搭建Cowrie教程。
hfish蜜罐设置开机自启
05-04
要将hfish蜜罐设置为开机自启,可以按照以下步骤操作: 1. 打开终端,使用root权限登录系统。 2. 在终端中输入以下命令,创建一个名为hfish.service的文件: ``` vi /etc/systemd/system/hfish.service ``` 3...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值