centos7 下搭建 hfish 2.1.0
HFish是一款基于 Golang 开发的跨平台多功能主动攻击型蜜罐网络钓鱼平台框架系统,为了企业安全防护测试做出了精心的打造
HFish 开发的官网:https://hfish.io
HFish地址
hfish-linux-amd64.tar.gz 用xssh上传到centos7中
解压
mkdir hfish
tar zxvf hfish-2.1.2-linux-amd64.tar.gz -C hfish
直接运行server,或者后台运行nohup ./server &
./server nohup ./server & #后台命令可以将进程后台挂起,而不影响终端使用 nohup详情:https://www.runoob.com/linux/linux-comm-nohup.html
关闭server进程
ps -aux | grep "server"
找到对应的pid,然后使用kill命令
其中的README.md文件已经写得很清楚
hfish 支持sqlite 和mysql , 这里我是使用的是mysql
在/db/sql/mysql 下有sql文件
已经有创建数据库的sql语句了,先建一个用户
首先root进入mysql mysql -u root -p create user 'hfish'@'localhost' identified by 'hfish'; grant all on hfish.* to 'hfish'@'localhost' identified by 'hfish';
执行sql文件
mysql -u hfish -p < V2.1.0__mysql.sql
可以在/var/lib/mysql下看到hfish数据库
修改config.ini 来连接mysql , 修改如下两项即可
type = mysql url = hfish:hfish@tcp(:3306)/hfish?charset=utf8&parseTime=true&loc=Local #hfish:hfish 对应的是 用户名:密码
但是我访问192.168.43.8:4433 时
我始终找不到原因,最后在web/assets/OneFishV2.1帮助文档.pdf 文件的后面找到了原因
登录url
https://192.168.43.8:4433/web/
默认密码
admin
HFish2021
登录后,它会弹框修改默认密码
重置密码
需要重置密码,请切换到 server/tools 文件夹:
cd server/tools
然后执行:
./tools resetpwd
如果看到 reset admin password success,那就重置成功了
情报对接
通过注册微步在线获得 API Key ,每天有免费的额度
微步在线: x.threatbook.cn
通知配置
使用钉钉与企业微信的webhook都没用
企业微信:
https://work.weixin.qq.com/help?doc_id=13376#%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8%E7%BE%A4%E6%9C%BA%E5%99%A8%E4%BA%BA
钉钉官方文档:(安全策略选择 ip白名单)
https://ding-doc.dingtalk.com/doc#/serverapi2/qf2nxq
钉钉网页版:https://im.dingtalk.com/
钉钉群机器人开发接口:https://www.cnblogs.com/tjp40922/p/11299023.html
试了这两个都没用,但是webhook是有用的,成功发送了消息到钉钉群
import requests import json def dingTalk(): headers={ "Content-Type": "application/json" } data={"msgtype": "text", "text": { "content": "我就是我, 是不一样的烟火" } } json_data=json.dumps(data) requests.post(url='https://.......',data=json_data,headers=headers)
dingTalk()
告警策略
模板管理
默认有两个模板,也可以自定义添加模板,新建模板可以就选择ssh,当然还可以其他组合
这里我们新建一个wordpress模板
节点管理
复制命令到linux下执行就好了
由于之前我已经开启了通用模板,节点貌似只能开一个
在防火墙开通9090端口,然后访问
模拟了登录页面
然后我尝试输入,按理HFish会出现攻击的,结果没有
我只要尝试登陆,蜜罐场景就会+1,不过没报攻击方ip地址,奇怪
我节点用研发测试模板,就会报
然后我关闭页面,重新加载页面,又出现了
其中详情记录了我尝试登录的用户名和密码
这里唯一遗憾的一点是,webhook配置不上
~~~~~~我干到凌晨一点终于配置成功了,md使用的就只是token,就把token填上就好
通过抓包测出来的
成功了,最后完美结束了
good night
钉钉 robot 的 security settings 使用关键字 HFish
吐了: elasticsearch 蜜罐不会发出警报 (熬到我1:30)
参考:
https://gitee.com/lauix/HFish
钉钉群机器人开发接口:https://www.cnblogs.com/tjp40922/p/11299023.html