一、前言
HFish 是一款基于 Golang 開發的跨平台多功能主動攻擊型蜜罐釣魚平台架構系統,為了企業安全防護測試做出了精心的打造
釋出版本下載下傳連結: https://github.com/hacklcx/HFish/releases
Github: https://github.com/hacklcs/HFish
- 多功能 不僅僅支援 HTTP(S) 釣魚,還支援支援 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗網等蜜罐
- 擴充性 提供 API 接口,使用者可以随意擴充釣魚子產品 ( WEB、PC、APP )
- 便捷性 使用 Golang 開發,使用者可以在 Win + Mac + Linux 上快速部署一套釣魚平台
二、叢集搭建
1.環境說明:
client01:66.42.68.123(用戶端1)
clinet02:144.202.85.37(用戶端1)
server:104.156.253.44(服務端)
2.服務端安裝與配置
[email protected]:~# wget https://github.com/hacklcx/HFish/releases/download/0.6.4/HFish-0.6.4-linux-amd64.tar.gz
[email protected]:~# tar zxvf HFish-0.6.4-linux-amd64.tar.gz
[email protected]:~# vi config.ini #需要将statuse修改為1,背景密碼修改為複雜密碼,db_str資料庫生産環境建議采用mysql遠端連接配接,這裡測試用自帶的sqlite資料庫,API查詢和上報的認證密鑰可以修改為自己的API key.
隻保留 HFish config.ini web libs (不啟動 WEB 蜜罐可以删掉 WEB 目錄) 其他皆可删掉
[email protected]:~# wget https://github.com/hacklcx/HFish/releases/download/0.6.4/HFish-0.6.4-linux-amd64.tar.gz
然後執行指令啟動服務端服務
./HFish run
2.客服端1安裝與配置
[email protected]:~# tar zxvf HFish-0.6.4-linux-amd64.tar.gz
隻保留 HFish config.ini web libs (不啟動 WEB 蜜罐可以删掉 WEB 目錄) 其他皆可删掉。
[email protected]:~# rm -rf admin/ db/ images/ static/
[email protected]:~# vi config.ini #需要将statuse修改為2,addr位址和端口修改為伺服器端的IP和端口
然後執行指令啟動客服端服務
./HFish run
2.客服端2安裝與配置
[email protected]:~# rm -rf admin/ db/ images/ static/
[email protected]:~# vi config.ini #需要将statuse修改為2,addr位址和端口修改為伺服器端的IP和端口
然後執行指令啟動客服端服務
./HFish run
3.界面展示:
4.監控腳本
/opt/monitor.sh:
#!/bin/bash
procnum=`ps -ef | grep "HFish"| grep -v grep | wc -l`
if [ $procnum -eq 0 ]; then
cd /root/HFish && nohup ./HFish run >> output.log 2>&1 &
fi
crontab -e
*/1 * * * * sh /opt/monitor.sh # 寫入内容,一分鐘執行一次 :wq! # 儲存退出即可,請自行檢查是否伺服器是否啟動 crontab 服務
5.黑名單 IP查詢
http://104.156.253.44:9001/api/v1/get/ip?key=X85e2ba265d965b1929148d0f0e33133
6.擷取全部賬号密碼資訊
http://104.156.253.44:9001/api/v1/get/passwd_list?key=X85e2ba265d965b1929148d0f0e33133
7.擷取全部釣魚資訊
http://104.156.253.44:9001/api/v1/get/fish_info?key=X85e2ba265d965b1929148d0f0e33133
8.啟動暗網蜜罐
[email protected]:/opt# apt-get install tor
修改配置vi /etc/tor/torrc 檔案
HiddenServiceDir /var/lib/tor/hidden_service/ # 添加tor web 目錄
HiddenServicePort 80 127.0.0.1:8080 # 将本機暗網的網站8080端口映射到暗網80端口
重新開機 torroot
[email protected]:# service tor restart
檢視暗網域名
cat /var/lib/tor/hidden_service/hostname
通路暗網蜜罐
通路 Tor 官網: https://www.torproject.org
下載下傳 Tor浏覽器 安裝系統對應版本
啟動 Tor浏覽器 通路蜜罐 .onion 字尾域名即
9.代理測試方法
在終端上執行以下指令:
http_proxy=http://127.0.0.1:8081 wget -O - http://hfish.io
10.自定義蜜罐添加:
# 修改 config.ini
[pot_name]
status = 1
addr = 0.0.0.0:5901
info = {{addr}} 掃描了該蜜罐
配置參數:
pot_name 蜜罐名稱
status 是否啟動 蜜罐 1 啟動 0 關閉
addr 蜜罐 服務端位址
info 告警内容,**{{addr}}** 可選,寫了後會替換為攻擊者 IP
11.與威脅情報關聯配置
12.web釣魚
web釣魚,預設是wordpress模闆,可以自定義修改模闆如OA或者exchange郵箱
13.郵件告警
如果設定郵箱告警,需要設定正确的賬号和密碼,這裡的密碼是為授權碼