From 58addc84f6f4a21e549ee937a2a1f28502e80fbb Mon Sep 17 00:00:00 2001 From: maqian Date: Thu, 21 Oct 2021 20:33:10 +0800 Subject: [PATCH 1/5] =?UTF-8?q?=E5=BF=98=E8=AE=B0=E5=AF=86=E7=A0=81?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- docs/.DS_Store | Bin 10244 -> 10244 bytes docs/4-5forgetpwd.md | 9 +++++++++ docs/_sidebar.md | 2 ++ docs/{5-4-demo.md => setting:passwd-1.md} | 0 4 files changed, 11 insertions(+) create mode 100644 docs/4-5forgetpwd.md rename docs/{5-4-demo.md => setting:passwd-1.md} (100%) diff --git a/docs/.DS_Store b/docs/.DS_Store index da76fb8abf71fde4c06e4740f86ed53d6e2445dc..e8223e9977c4a67927d697459d8a4ddccb5a7ca3 100644 GIT binary patch delta 155 zcmZn(XbG6$&*-o*U^hRb!)6``6f0&ZXGj5>VmO&gOm*`e*}IIJ M*%jDGF#9Yc02RL^l>h($ delta 102 zcmZn(XbG6$&uG6fU^hRb{bn8kM%KyRqHhGb8B7^;8BBmUg&~z8mmz=h1__bLl5&EZ Z&BfNTZ`P8#%Q&&YZ!^0B8)5ZV83BF08mRyP diff --git a/docs/4-5forgetpwd.md b/docs/4-5forgetpwd.md new file mode 100644 index 0000000..81f1c32 --- /dev/null +++ b/docs/4-5forgetpwd.md @@ -0,0 +1,9 @@ +> 当前,蜜罐包含五大类、共36种服务,所有服务的详细描述,都可以在「服务管理」中看到 + +image-20210914161340527 + + + +> 此外,所有的web类蜜罐,我们都提供了预览选项。可以更好的了解和搭配服务 + +image-20210914161437108 diff --git a/docs/_sidebar.md b/docs/_sidebar.md index f72f3dd..6d9e49d 100644 --- a/docs/_sidebar.md +++ b/docs/_sidebar.md @@ -43,4 +43,6 @@ - 平台管理 - [登陆管理](7-1-login) - [系统信息](7-2-info) + - [忘记密码](setting/passwd-1) - [已知问题](known) + diff --git a/docs/5-4-demo.md b/docs/setting:passwd-1.md similarity index 100% rename from docs/5-4-demo.md rename to docs/setting:passwd-1.md From b307638df1275f96d449b179185a1e79c8497912 Mon Sep 17 00:00:00 2001 From: maqian Date: Thu, 21 Oct 2021 20:36:26 +0800 Subject: [PATCH 2/5] mima --- .DS_Store | Bin 8196 -> 10244 bytes docs/.DS_Store | Bin 10244 -> 14340 bytes .../passwd-1.md} | 0 3 files changed, 0 insertions(+), 0 deletions(-) rename docs/{setting:passwd-1.md => setting/passwd-1.md} (100%) diff --git a/.DS_Store b/.DS_Store index 63c387d5282227c7c58558c76478fb035249f834..33701d9b769b78fcc1f900649b4a47fa250efa07 100644 GIT binary patch literal 10244 zcmeHMYitx%6h3EKVWul|3dP#x(Ul4)RNNLyz=&+OAd~`aXrT`tWp?MbjLgo|nc3D- zt5u^vd?o%-5s8UEjIY2C#b@FVjS-A75y1z+Xky|YO?(7QjEQ>g+}U+^3qO6uxyj7A z_uO;t?EUU{ZqL0108D1}Mt~Rq$nC^l+I7OpS$A%UP_n8I1CvTS;b%%p{hxb#%rr~<=_@^k9m0vb( zx-3`76*DUKbnUlCyFAUyx=GF1#ao@4w?7rsyKURd*R|A6gN+WT)vdPWX@ZDd#KzY&#i_nx)x?A%*DPvW z+qN$=c5wXmi94R~F$D}ZG~g>ySPoMoKSSM3n<@H@+&Hf^(j&pN@$KBSzf{%S#FdK3 z^85|J@I00Y4_wWl&$68#7%Wx&G#dWv|+pr%8a35;ITgol>yyEZRE!57h ztm%%l3PP7P=T`PC285<{jm(I4@7USX+c%)9S(j~Rrsf$VY`x|&cPa!uY1_kSHYnYemSLx7sa2I%)<&bf z*_3f>*6_yEdRZ1@Er`Yx^|-uSr^#%!b?&MAJ<$cxt7Ul?*S9*1-a;K&61`SYHM!fR zX^SBmBFh!kRk{yQL<`r($O>82l^s5(glbh}wXC))JtKmOLRlTTQC51>b|ynV+7-HW z(H2=fA@AiM-lDl)$1t<#+k6VG3!>3Ju5ZzGrUx^KZi;S})l+i6yI*ry$0%(xVxUdY zZL;jIBI)@^8+607^PSsyr)pRu2JL1P9AZaS!h0w8ufTaTpzRaSZRqd+=Vo4U18O@@Z~;)xt=fdKm?aXf9qt&1n=UqPeW0u1=LGK1DO$ zSQk;tDEbuNx4D6u7&O-05Q(Ve6o;bkruo!_ppk5)VR%%@e-*z^!YTL+zJl+F-@joQ z%2j-; zLwFdU#3T3&K8w%c^Y{`T$5-(+d>!Awcklx|gJ$$7w!PE}1DEqRyf@=CUR3Rn$=eqQVnc0#PR@86~$F(2G+}JV_%ILdi!AONc;- zK#0J99)U73gBZX6-*D;w|NrOb8BQQXAVlEO2w?g8uJuXk&)rRwn)18$7(M&w;f32x z3hBGh%fF5%>0ifFgI~w{w=1Lz4xYYWg7n;fQb?*%`P=^);2*Rj;rU;HAD;jJhv)x4 E0A5?gfdBvi delta 331 zcmZn(XmOBWU|?W$DortDU;r^WfEYvza8E20o2aKK$_|nT@)?rKiwlx+@{@r4QyUAX zu}^H^-OSFx!odqt!NQ=&kj{|FP%`;~z(iIH0|Om}$!UVF+ECH5;G(>o{JeCCSwPh( z4EYSn48=%ho}7F~pn+SWy4uLtQb)nq$Z~Rqpe*Ce$s45P8D~x2E$GN3B{}(@;2r6R z%;fyM;LNJjcme+6jQny>AUB{WwJbBWeDYTzOaAQ4ycAAlhX9~mK)^ZKR#=fyU~;^$ zC}Za2QemCRTO?&B|B>Wo#BbqCDcQ}pd32ZsnIYy#a06*qP`GR?{LVa?UnP(O7%HI9 LV%QwdGlv-fZ4FYk diff --git a/docs/.DS_Store b/docs/.DS_Store index e8223e9977c4a67927d697459d8a4ddccb5a7ca3..e2f29e69a4d59b43f321f24be687ae877fb0448d 100644 GIT binary patch delta 496 zcmZn(Xem%&U|?W$DortDU@!nOIe-{M3-ADmHUvsL z#*hRgix~7K7Aj9RP+?&ODPWnLAz{9;%z=F~I|mB~qr&Dn5+1Cc>It|NYDEZ20#`A1Dfij^5O!h>Qj^R?P7ZNZLtD>;+{&uzn%cTqljq9F*U!c@GAG?II5|JJ0BjwEK(jPA z-^B%LDM!3G1IOtJhaEA^$<0q8sLFsLy&!{-b!EXtc{%xc=|C$OH>=A%VBFXs#?Gj^ znMWX&V{)~8&&CEJc1c!izE5gnU0RM(-VgLXD delta 206 zcmZoEXbF&DU|?W$DortDU{C-uIe-{M3-C-V6q~3gIoZI3MH0woZ~$UPpg03V217nW z9z!ZaB}2jHMu{%=i4P< Date: Thu, 21 Oct 2021 20:58:31 +0800 Subject: [PATCH 3/5] mimaz --- docs/setting/passwd-1.md | 135 +++------------------------------------ 1 file changed, 10 insertions(+), 125 deletions(-) diff --git a/docs/setting/passwd-1.md b/docs/setting/passwd-1.md index 99bff0f..88540cf 100644 --- a/docs/setting/passwd-1.md +++ b/docs/setting/passwd-1.md @@ -1,134 +1,19 @@ +#### Linux +> 进入HFish安装目录,执行resetpwd -u admin -### SSH蜜罐 +```shell +resetpwd -u admin +``` -> 在终端里,尝试连接蜜罐的ssh端口,会显示“Permission denied, please try again.” +![image-20211021205653677](http://img.threatbook.cn/hfish/image-20211021205653677.png) -image-20210319113406672 +> 使用admin/HFish2021进行登录 -> 这时攻击列表会记录下所有测试过的用户名和密码 -image-20210319113330040 - - - -### FTP蜜罐 - -> 用FTP终端尝试连接FTP蜜罐端口,会在攻击列表中出现FTP蜜罐报警 - -image-20210319113309227 - - - -### HTTP蜜罐 - -> HTTP蜜罐为http代理蜜罐,利用http代理工具连接蜜罐端口 - -image-20210319113242516 - -> 攻击列表中的显示信息如下 - -image-20210319113211933 - - - -### TELNET蜜罐 - -> 利用TELNET应用连接蜜罐端口 - -image-20210319113132880 - -> 攻击列表中显示信息如下 - -image-20210319113101608 - - - -### MYSQL蜜罐 - -> 用MYSQL工具连接蜜罐对应端口,可输入指令。 - -1521628589153_.pic_hd - - - -> 在管理端,可以看到攻击者的攻击记录以及其本地的etc/group信息 - -1531628589485_.pic_hd - - - -### WEB蜜罐 - -> WEB蜜罐用浏览器访问相应的端口,并尝试输入【用户名】和【密码】后 - -image-20210810203232153 - -> 会提示用户名和密码错误 - -image-20210319112522399 - - - -> 服务端后台会获取攻击者用于尝试的用户名和密码 - -image-20210319112739513 - - - -### VNC蜜罐 - -> 通过VNC viewer进行登陆常识,输入IP和端口 - -1591628590040_.pic_hd - -1611628590115_.pic_hd - - - -> 在管理端,可以看到相关攻击记录 - -image-20210810195923459 - - - -### REDIS蜜罐 - -> 使用redis命令,远程登录redis - -image-20210810200645587 - -> 进入管理端,可以看到攻击详情 - -1641628594371_.pic_hd - - - -### MEMCACHE蜜罐 - -> 通过Telnet(或其他方式)尝试连接MEMCACHE - -image-20210810202312677 - -> 进入管理端,可以查看攻击详情 - -1741628595751_.pic_hd - - - - - -### Elasticsearch蜜罐 - -> 通过IP和端口,可以登陆查看Elasticsearch蜜罐 - -1701628595182_.pic、 - - - -> 进入管理端,可以看到攻击的请求详情 - -1721628595216_.pic_hd +#### Windows +> 进入HFish安装目录,执行resetpwd.exe +> 使用admin/HFish2021进行登录 From a940a523ff1d3212328d27753e99db08f2f40342 Mon Sep 17 00:00:00 2001 From: maqian Date: Fri, 22 Oct 2021 09:17:00 +0800 Subject: [PATCH 4/5] =?UTF-8?q?=E6=B5=8B=E8=AF=95=E7=94=A8=E4=BE=8B?= =?UTF-8?q?=E6=96=87=E6=A1=A3push?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .DS_Store | Bin 10244 -> 10244 bytes docs/.DS_Store | Bin 14340 -> 12292 bytes docs/5-4-demo.md | 134 +++++++++++++++++++++++++++++++++++++++++++++++ 3 files changed, 134 insertions(+) create mode 100644 docs/5-4-demo.md diff --git a/.DS_Store b/.DS_Store index 33701d9b769b78fcc1f900649b4a47fa250efa07..9261c96e053fa92775a2c85c981b4a2d2c4fddba 100644 GIT binary patch delta 214 zcmZn(XbISGTY&N8UVy(iBfs1e$PFk;Ez3+TpZrxwO zaf*tHiHk}|N=i@uD|kmbUVy(iBfs1;IX^F;D77pzwLBsd$PUh|N}c>gNNuvRuml&U zvO@p^7)*8*Ry3DnRASU-G-0%5v}g2S^kj@;jAu+>OoXUlVua8PGEf>yF=lO^FPymi{sSLRc z`I8j{L|MBT7?|QV>!?j()G97W%E?axnsqX%ASV+@vjQ;?XmA4wS7fJey!f7ZGQWu~ iBg14z6L}t>LqXnS0MZ7Nb4(^~{;6WeNYFk$RQmt}A3wkV delta 270 zcmZokXem%&U|?W$DortDU@!nOIe-{M3-ADmHUPrgv9iVjrRPn4D=Nj4 zR9;+=l#`zX6gV~6QLKSovbtK=(7<%^aWN&vS(7)4$TQB~%q7mq2{dCdqv~cJ1#Py? zxoVw^6DL?t<`>A@%p>_9Wd3|fR-h3;V89I|T#;S7S&;EP^JIPt&3{#_7-8meax<7S=rR~F=mG#(J2(*l diff --git a/docs/5-4-demo.md b/docs/5-4-demo.md new file mode 100644 index 0000000..99bff0f --- /dev/null +++ b/docs/5-4-demo.md @@ -0,0 +1,134 @@ + + +### SSH蜜罐 + +> 在终端里,尝试连接蜜罐的ssh端口,会显示“Permission denied, please try again.” + +image-20210319113406672 + +> 这时攻击列表会记录下所有测试过的用户名和密码 + +image-20210319113330040 + + + +### FTP蜜罐 + +> 用FTP终端尝试连接FTP蜜罐端口,会在攻击列表中出现FTP蜜罐报警 + +image-20210319113309227 + + + +### HTTP蜜罐 + +> HTTP蜜罐为http代理蜜罐,利用http代理工具连接蜜罐端口 + +image-20210319113242516 + +> 攻击列表中的显示信息如下 + +image-20210319113211933 + + + +### TELNET蜜罐 + +> 利用TELNET应用连接蜜罐端口 + +image-20210319113132880 + +> 攻击列表中显示信息如下 + +image-20210319113101608 + + + +### MYSQL蜜罐 + +> 用MYSQL工具连接蜜罐对应端口,可输入指令。 + +1521628589153_.pic_hd + + + +> 在管理端,可以看到攻击者的攻击记录以及其本地的etc/group信息 + +1531628589485_.pic_hd + + + +### WEB蜜罐 + +> WEB蜜罐用浏览器访问相应的端口,并尝试输入【用户名】和【密码】后 + +image-20210810203232153 + +> 会提示用户名和密码错误 + +image-20210319112522399 + + + +> 服务端后台会获取攻击者用于尝试的用户名和密码 + +image-20210319112739513 + + + +### VNC蜜罐 + +> 通过VNC viewer进行登陆常识,输入IP和端口 + +1591628590040_.pic_hd + +1611628590115_.pic_hd + + + +> 在管理端,可以看到相关攻击记录 + +image-20210810195923459 + + + +### REDIS蜜罐 + +> 使用redis命令,远程登录redis + +image-20210810200645587 + +> 进入管理端,可以看到攻击详情 + +1641628594371_.pic_hd + + + +### MEMCACHE蜜罐 + +> 通过Telnet(或其他方式)尝试连接MEMCACHE + +image-20210810202312677 + +> 进入管理端,可以查看攻击详情 + +1741628595751_.pic_hd + + + + + +### Elasticsearch蜜罐 + +> 通过IP和端口,可以登陆查看Elasticsearch蜜罐 + +1701628595182_.pic、 + + + +> 进入管理端,可以看到攻击的请求详情 + +1721628595216_.pic_hd + + + From 5b2f6a26e61098ea318f5bdaf479fd96e9169db8 Mon Sep 17 00:00:00 2001 From: maqian Date: Mon, 25 Oct 2021 11:37:18 +0800 Subject: [PATCH 5/5] =?UTF-8?q?=E6=96=87=E6=A1=A3=E6=8F=8F=E8=BF=B0?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .DS_Store | Bin 10244 -> 10244 bytes docs/.DS_Store | Bin 12292 -> 12292 bytes docs/2-2-linux.md | 30 ++++++++++++++++++++++++------ docs/2-3-windows.md | 4 +--- docs/2-deploy.md | 13 +++++++++---- 5 files changed, 34 insertions(+), 13 deletions(-) diff --git a/.DS_Store b/.DS_Store index 9261c96e053fa92775a2c85c981b4a2d2c4fddba..67e11e0b5cbd8afd691aba46958108d7f768167d 100644 GIT binary patch delta 29 kcmZn(XbIR5FUVnTW~rlKY+|uFU2rQSQ&_`hIpJp_0EXcR`2YX_ delta 29 kcmZn(XbIR5FUVnRZla@LY-+MOU2rQSQ_Y0Ua>CC<0EdGKBme*a diff --git a/docs/.DS_Store b/docs/.DS_Store index 6718e1c450c73ce4c586d312950e2bae342334d0..556dc983881b9cc77dbdbabbc5359674ff51374b 100644 GIT binary patch delta 23 acmZokXi3-*qsGLPzBx|qA3KCz#s~mp{|D;; delta 23 acmZokXi3-*qsGM8y*W 请防火墙开启4433、4434和7879,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。) +> 请防火墙开启4433、4434,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。) ``` -firewall-cmd --add-port=4433/tcp --permanent (用于web界面启动) -firewall-cmd --add-port=4434/tcp --permanent (用于节点与server端通信) +firewall-cmd --add-port=4433/tcp --permanent #(用于web界面启动) +firewall-cmd --add-port=4434/tcp --permanent #(用于节点与server端通信) firewall-cmd --reload ``` @@ -20,9 +20,17 @@ bash <(curl -sS -L https://hfish.io/install.sh) image-20210917162839603 -> 完成安装安装 +> 完成安装 -在安装完成后,HFish会自动在控制端上创建一个节点。可在节点管理进行查看。 +``` +登陆链接:https://[ip]:4433/web/ +账号:admin +密码:HFish2021 +``` + +`例:如果管理端的ip是192.168.1.1,登陆链接为:https://192.168.1.1:4433/web/` + +在安装完成后,HFish会自动在管理端上创建一个节点。可进行登录后,在「节点管理」列表中进行查看。 image-20210914113134975 @@ -36,6 +44,8 @@ bash <(curl -sS -L https://hfish.io/install.sh) sh <(curl -sSL https://hfish.io/autorun.sh) ``` +`如果是使用一键脚本进行安装,安装目录在 /opt目录下。` + 即可配置开机自启动。 (该方法通用于节点端自启动) @@ -85,5 +95,13 @@ nohup ./server & 密码:HFish2021 ``` -例:如果控制端的ip是192.168.1.1,登陆链接为:https://192.168.1.1:4433/web/ +`例:如果管理端的ip是192.168.1.1,登陆链接为:https://192.168.1.1:4433/web/` + +在安装完成后,HFish会自动在管理端上创建一个节点。可在节点管理进行查看。 + +image-20210914113134975 + + + +### diff --git a/docs/2-3-windows.md b/docs/2-3-windows.md index e23eb28..bbc1910 100644 --- a/docs/2-3-windows.md +++ b/docs/2-3-windows.md @@ -1,6 +1,6 @@ > **第一步:下载安装包**[HFish-Windows-amd64](https://hfish.cn-bj.ufileos.com/hfish-<% version %>-windows-amd64.tar.gz) (Windows x86 架构 64 位系统) - +> 第二步:防火墙上进出站双向打开TCP4433、4434端口放行(如果需要使用其他服务,也对应打开端口) > 第二步:运行文件目录下的autorun.bat @@ -16,6 +16,4 @@ 例:如果控制端的ip是192.168.1.1,登陆链接为:https://192.168.1.1:4433/web - - `如果您启动页面失败,请查看windows防火墙是否放开4433与4434` diff --git a/docs/2-deploy.md b/docs/2-deploy.md index d63295a..10c161c 100644 --- a/docs/2-deploy.md +++ b/docs/2-deploy.md @@ -5,6 +5,9 @@ | 管理端(Server) | 支持64位 | 支持64位 | | 节点端(Client) | 支持64位和32位 | 支持64为和32位 | +`HFish采用B/S架构,系统由控制端和节点端组成,控制端用来生成和管理节点端,并接收、分析和展示节点端回传的数据, +节点端接受控制端的控制并负责构建蜜罐服务。` + #### HFish所需配置 @@ -13,21 +16,23 @@ 针对过往测试情况,我们给出两个配置。注意,如果您的蜜罐部署在互联网,会遭受到较大攻击流量,建议提升主机的配置。 -| | 控制端 | 节点端 | +| | 管理端 | 节点端 | | -------- | --------- | -------- | | 建议配置 | 2核4g200G | 1核2g50G | | 最低配置 | 1核2g100G | 1核1g50G | -`(日志磁盘占用情况受攻击数量影响较大,我们通常建议控制端配置200G硬盘空间以上)` +`(日志磁盘占用情况受攻击数量影响较大,我们通常建议管理端配置200G硬盘空间以上)` + + #### 部署权限要求 -> 控制端对root权限的需求 +> 管理端对root权限的需求 ```wiki 1. 如果您使用的是官网推荐的install.sh脚本安装,安装目录被释放到opt目录下,过程需要root权限; -2. 如果您下载安装包手动安装,在默认使用SQLite数据库情况下,控制端的部署和使用不需要root权限,但如何替换SQLite改为MySQL数据,则MySQL安装和配置需要root权限; +2. 如果您下载安装包手动安装,在默认使用SQLite数据库情况下,管理端的部署和使用不需要root权限,但如果要替换SQLite改为MySQL数据,则MySQL安装和配置需要root权限; ``` > 节点端对root权限的需求