HFish蜜罐使用体验及简单评测


现在HFish蜜罐并不是非常稳定,可能会出现内存溢出等问题,如果配置不当甚至会导致黑客直接攻破

在介绍HFish之前,让我们先来明确一下 什么是蜜罐

Part One:什么是蜜罐

让我们来看一段官方的解释:
蜜罐 技术本质上是一种对攻击方进行 欺骗的技术,通过布置一些作为 诱饵的主机、网络服务 或者 信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行 捕获 和 分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐 好比是 情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

让我们抛弃那些官方的解释,就直接来说说蜜罐本质到底是用来作什么的
举个栗子:目前某个CMS(网站)模板出现了严重的漏洞,可以导致黑客直接Getshell(获取系统完全控制权),那么,身为安全研究人员的我,该如何知道黑客是如何运用这些漏洞进行攻击的呢?
很简单~我只需要搭建一个带有漏洞的环境,然后将它暴露出来,黑客就会自然前来攻击(一般来说是批量的),但是他没想到的是这个环境是我故意搭建好的,我就等着他来攻破我的环境呢,这样,他就算成功获取到了我蜜罐的完全操作权限,也没办法对我的真实环境造成任何威胁,而且他的一举一动都会留下日志,这就给我分析这个漏洞获取到了足够的信息

Part Two:让我们来开始配置一个蜜罐吧,不过该如何选择呢?

蜜罐可以说是囊括了各种环境,囊括了市面上所有能见到的环境:
Web,Mysql,SSH,Telent,Redis,FTP等等...
我们选择蜜罐当然可以看自己的需求以及当时的环境因素
如果Mysql爆出了某个严重的漏洞的话,当然可以自己配置一个Mysql蜜罐
再比如,我不是针对哪个漏洞进行配置,而是对SSH配置一个弱密码,看看黑客在成功登录我服务器之后会干些什么,这当然是可以的,而且可能比针对漏洞配置更好,我们可以用这种方法取得黑客常用来攻击的手法,以及他们用的服务器IP,可能我以后配置防火墙策略就会把这些IP拉入黑名单(被动记录型)。当然可以有更多种用途,甚至可以尝试通过一些漏洞反向读取黑客方的文件,甚至尝试获取他机器的控制权(主动出击型)
大部分蜜罐都是术业有专攻,比如Cowrie,他可以记录SSH攻击,可以完全模拟一个SSH环境,甚至有Debian的部分代码支持
Nosql-Hack这个开源项目则是针对Mysql攻击记录的蜜罐,他甚至可以模拟UDF.dll来让黑客提权,然后记录他们的常用手法
当然这一切在日志里全部都有记录
我们今天要介绍的HFish则是一个万能蜜罐,他可以一键支持市面上大部分服务

Part Three:HFish长什么样?他可以干什么?

Hfish蜜罐的主控台样子

这是Hish蜜罐主控台的样子,看起来支持的项目很多,他的Web页面默认是WordPress
让我们开始挑选一些介绍一下吧!

SSH蜜罐:

部署这个蜜罐之前,请先修改你要做蜜罐环境的真实环境SSH端口,以免SSH端口冲突爆炸,甚至无法连接到真实环境的SSH(其他服务同样注意端口冲突)

从Gayhub上面把HFish的代码clone下来,然后按照官方文档去配置
为了避免退出SSH之后服务关闭,建议使用screen命令,如何配置请自行百度


配置好之后,开一个Xshell,连接到机器的SSH
账户:root 密码:root(当然是弱密码,要不然黑客怎么进)

连接之后的样子
连接之后看起来还满正经的是吧
让我们运行一些常用命令吧~
一些常用命令
看起来很正经呢
CPU信息啦,wget啦
这些看起来都不错~
如果黑客输入一些不常用的命令或者要求交互的呢?
emmm,test是什么鬼
返回的全部都是test,包括未知命令,这里提个小建议,如果换一个未知指令啥的会更好
但事实上,这些命令都被记录到后台了
事实上,这些命令全都进入了后台,包括他的Wget地址
由于时间有限~这次博文就只介绍SSH这一个蜜罐
这里贴出其他蜜罐捕获的一些东西~
嘿嘿~
各种类型的蜜罐都有,你还可以拿到一些有趣的EXP

Part Four:缺点及BUG

先说我个人认为不算十分严重的
由于每一次登录失败都会被记录为一次攻击
所以我的TELNET蜜罐到现在收获了上千攻击(╯‵□′)╯︵┴─┴
希望HFish团队可以对登陆失败进行专门处理,而不是全都混在一块,太不好看了
第二个问题是蜜罐似乎只能对正常信息进行记录,而脚本进入的会乱码或无记录,这点我本地通过某些SSH自动下载木马脚本进行了验证,发现确实存在这个问题,这导致整个蜜罐的可用性简直是腰斩...
乱码例子
最严重的也是把我吓懵逼的是蜜罐在针对大量字符处理的时候会崩溃
这货直接把我蜜罐干爆了
吓尿了,原来是复制了超级多的空格导致蜜罐崩了,紧急排查了一圈没发现什么奇怪的脚本
真的可以算到安全漏洞的行列了,感觉还是蛮恐怖的,毕竟蜜罐逃逸不是什么小事

感谢读完这篇文章,原创不易,如果这篇文章为您提供了帮助,请支持我哦~

Last modification:October 20th, 2019 at 10:13 pm
如果你认为我的文章为您提供了一些有用的信息或建议,请支持我

2 comments

  1. Mark

    不错,之前我也写过类似文章,不错

  2. 卡洛斯父亲

    太酷了

Leave a Comment