蜜罐搭建,还原黑客对你服务器的操作过程

admin 2023年3月4日02:12:54评论38 views字数 3277阅读10分55秒阅读模式

前言:

      大家想必都知道蜜罐是什么,蜜罐是蓝队常用反制红队的手段之一,我们通过蜜罐来诱惑红队入侵,然后留下他们的记录,同时可以在蜜罐中加入一些看似重要的文件,其实其中嘿嘿嘿。那么我们今天就来利用一款蜜罐软件来实践一下。


实操:

        

首先安装环境

1 Kippo 的安装

GitHub 地址:https://github.com/desaster/kippo

安装环境:centos7

为确保蜜罐服务器的安全,建议在 windows 服务器上安装 vmware,然后安装 centos

下载代码、安装相关的依赖:


[root@bai64 ~]# yum install python-zope-interface python-pyasn1 -y [root@bai64 ~]# yum install -y python-twisted* [root@bai64 ~]# yum -y install python-devel mysql-devel [root@bai64 ~]# yum install -y python2-paramiko [root@bai64 ~]# yum -y install epel-release[root@bai64 ~]# yum -y install python-pip 


pip install twisted==15.2.0 #下载太慢了

解决方法:使用清华的 python 源下载安装包


[root@bai64 ~]# pip install -i https://pypi.tuna.tsinghua.edu.cn/simple twisted==15.2.0 --trusted-host pypi.tuna.tsinghua.edu.cn 


-i 参数 加源链接


[root@bai64 ~]# pip install -i https://pypi.tuna.tsinghua.edu.cn/simple mysqlpython --trusted-host pypi.tuna.tsinghua.edu.cn 


安装模块:


[root@bai64 ~]# pip install -i https://pypi.tuna.tsinghua.edu.cn/simple pycrypto --trusted-host pypi.tuna.tsinghua.edu.cn 


因为 kippo 不能以 root 运行,所以新建一个 kippo 账号

[root@bai64 ~]# useradd -d /kippo kipp

注:可以使用一键搭建

蜜罐搭建,还原黑客对你服务器的操作过程

工具文章末尾给大家

然后上传工具包中的kippo

蜜罐搭建,还原黑客对你服务器的操作过程

上传后解压unzip kippo.zip


[root@bai64 ~]# cp -r kippo/ /kippo/ //为了给后面新建的账户权限用[root@bai64 ~]# chown -R kippo:kippo /kippo //给前面新建的账号的权限


安装 mysql


[root@bai64 ~]# yum install mariadb-server mariadb -y [root@bai64 ~]# systemctl start mariadb 


登录 mysql,创建数据库和账号


[root@bai64 ~]# mysql MariaDB [(none)]> create database kippo; MariaDB [(none)]> GRANT ALL PRIVILEGES ON kippo.* TO kippo@localhost IDENTIFIED BY '123456'; 

 //在mysql中新建了一个kippo账户,设置密码为123456

退出 mysql

MariaDB [(none)]> exit; 

测试登录


[root@bai64 ~]# mysql -u kippo -p123456 


初始化数据表 (这里新建了一个名叫kippo的库,然后将kippo的数据导入进去)


[root@bai64 ~]# mysql -ukippo -p -Dkippo < /kippo/kippo/doc/sql/mysql.sql 


在/kippo/kippo 下面复制配置文件,并修改相应的配置


[root@bai64 ~]# cd /kippo/kippo/ [root@bai64 kippo]# cp kippo.cfg.dist kippo.cfg [root@bai64 kippo]# vim kippo.cfg 



改: 163 #[database_mysql] 164 #host = localhost 165 #database = kippo 166 #username = kippo 167 #password = secret 168 #port = 3306 为: [database_mysql] host = localhost database = kippo username = kippo password = 123456 port = 3306 


蜜罐搭建,还原黑客对你服务器的操作过程

注:这里的密码是数据库kippo权限的密码,也是用来诱惑对方的弱密码


[root@bai64 kippo]# su - kippo [kippo@bai64 ~]$ cd kippo/[kippo@bai64 kippo]$ chmod +x start.sh[kippo@bai64 kippo]$ ./start.sh


如果启动失败,可能是前面环境安装失败,建议重新恢复快照,重新安装一遍

下图是正常安装的情况

蜜罐搭建,还原黑客对你服务器的操作过程

我们通过查询端口的开启使用情况来看我们是否开启成功

netstat -antup | grep :22

蜜罐搭建,还原黑客对你服务器的操作过程

这里开启了2222端口,证明开启成功了


systemctl disable firewalld && systemctl stop firewalld //关闭防火墙cat data/userdb.txt //查看登录的账号密码,这里可以自己添加


蜜罐搭建,还原黑客对你服务器的操作过程

这里我们使用另一台机器进行登录

蜜罐搭建,还原黑客对你服务器的操作过程

这里我们就是模拟黑客的登录,假设我们的机器被入侵了

输入123456的密码,进去之后执行一些命令

蜜罐搭建,还原黑客对你服务器的操作过程

我们到蜜罐中查看登录之后的日志

[kippo@bai64 kippo]$ tail -f /kippo/kippo/log/kippo.log 

蜜罐搭建,还原黑客对你服务器的操作过程

这里包含了登陆者的IP,登录者执行的命令,我们还可以回放对方的操作

先给

chmod +x /kippo/kippo/utils/playlog.py


这个playlog就是回放操作的文件,给他加一个执行权限然后我们运行并且指定记录文件

cd log/tty/ 到这个目录下,可以查看记录


/kippo/kippo/utils/playlog.py 20220413-135434-4973.log

蜜罐搭建,还原黑客对你服务器的操作过程

使用playlog.py然后指定日志,会回放入侵之后的操作。相当于一个回放,很有意思。

蜜罐搭建,还原黑客对你服务器的操作过程

到这里蜜罐服务器的搭建就完成了。

关于回放功能使用的一些小技巧:

有录制就有播放,就像录视频一样,执行下面这个命令即可,时序文件在前,命令文件在后

[root@bai ~]# scriptreplay 1111.file 1111

如果操作过程比较长怎么办?比如黑客做了 5 个小时操作,难道我们需要看 5 个小时?

scriptreplay 命令带有一个-d 的选项,用于快放的,比如我们可以快放 10 倍,这样就可以节约很

多时间了

[root@bai ~]# scriptreplay -d 10 xuegod.file xuegod

自动触发监控,黑客登陆的操作与实时监控

思路:用户登录到系统后,自动触发 script 录屏,并记录登录时间、登录的用户。

这个时候就只要让 script 命令在登录时自动运行,我们可以把它添加进 shell 环境配置文件中。

创建一个目录用于存放录制后的文件,这里我故意伪装为 dhcpd,让黑客不容易察觉到


[root@bai~]# mkdir -p /etc/dhcpd/[root@bai~]# vim /etc/profile 


#在中间处找个位置写入以下内容


script -t -f -q 2>/etc/dhcpd/$USER-$UID-`date +%Y%m%d%H%M%S`.time -a 
/etc/dhcpd/$USER-$UID-`date +%Y%m%d%H%M%S`.hisif [ "$SHLVL" = 1 ]; thenexitfi

相关工具的获取,关注公众号,发送

蜜罐

即可获取!

原文始发于微信公众号(白安全组):蜜罐搭建,还原黑客对你服务器的操作过程

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月4日02:12:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蜜罐搭建,还原黑客对你服务器的操作过程http://cn-sec.com/archives/1263359.html

发表评论

匿名网友 填写信息