美文网首页Kali Linux
树莓派--搭建蜜罐

树莓派--搭建蜜罐

作者: 顶风作案7号 | 来源:发表于2021-12-20 20:54 被阅读0次

    前言

    一是现在自己有本职的事情需要做。二是树莓派本身的硬件实在是有限,很多事情需要自己从0到1进行构建。综合这两个因素,这个系列一定短暂缺更,等有时间了,再将这个系列深入研究下。

    在此,我们再来梳理一下我们的思路:

    1. 我们将树莓派3B+刷成了kali系统,作为攻击机
    1. 我们将树莓派2B刷成了Ubuntu-Server系统,当做环境机
    1. 本次内容:在环境机上部署安全设备,简单攻防演练下

    很多东西,你只看到我最后记录了完整的结果,你没看到我是如何从0到1,如何中间排错,如何get新技能了。这些才是深层次的干货,没放出来的原因很简单,我太懒了!主要每次调试完,真的一点都不想记录了。而且,也怕东西写的多了,没有节奏性逻辑性,索性直接放完整过程了。

    这次的第三期也会是这个风格

    言归正传,接下来开始老规矩,先看成功效果图,然后进行罗列本文大纲:

    • Ubuntu服务器环境准备

    • kali攻击机环境准备

    • 简单攻防演练

    • 总结与思考

    成功效果图

    先来个全家福,又是万能马赛克

    image.png

    再来一个设备合照

    image.png

    【一>所有资源获取<一】
    1、200份很多已经买不到的绝版电子书
    2、30G安全大厂内部的视频资料
    3、100份src文档
    4、常见安全面试题
    5、ctf大赛经典题目解析
    6、全套工具包
    7、应急响应笔记
    8、网络安全学习路线

    一、Ubuntu服务器环境准备

    这里的环境准备,主要是讲解如何安装蜜罐--HFish。其实,蜜罐系统有很多,这次我选取了国人自研的HFish,有兴趣的可以移步微步在线查看更多(20年被微步在线收购了),这里不加赘述了。在介绍安装步前,简单说点,我们这个是要依托上一篇的环境,所以不知道如何树莓派安装Ubuntu和后续安装docker之类的,请去我的主页查看上篇链接。上篇文章反复强调一点,设备主机是树莓派2B,是ARMV7架构指令集的。这里继续强调一遍。因为,我在实际测试环境中,因为这个架构的问题,很多事情都解决不了。具体请看步骤:

    HFish的安装

    这里采用的是docker的安装方式,其实Hfish官网给出了多种安装方式,至于为啥采用了Docker的方式,原因有很多。最主要的一条:树莓派2B是ARMV7架构指令集的,各位看官,继续往下看,您就懂了!

    第一步:docker拉取HFish镜像

    首先,我们打开Hfish的官网,查看下安装教程

    HFish官网

    image.png

    我们可以看到部署方式有很多,而且也看到了我们的docker部署方式,我们看下错误的安装教程

    # 简单说明下:这里是将拉取镜像和执行一同进行了,# 拉取的镜像名称为:threatbook/hfish-server:latest# -v是挂载宿主机数据卷、-itd选取后台静默运行 # -name是容器命名 -network设置网络模式 --privileged是设置容器的权限内容docker run -itd --name hfish \-v /usr/share/hfish:/usr/share/hfish \--network host \--privileged=true \threatbook/hfish-server:latest
    
    
    image.png

    你看,这里又一次出现了我反复强调的内容点了吧:树莓派2B是ARMV7架构指令集的。系统兼容性不匹配,没办法了,我们不要在终端用docker search搜索了,直接去dockerhub网址,可视化搜索下:

    dockerhub仓库网址

    image.png

    使用关键词:hfish搜查,出现了关键词。但是出现的第一个排名最高的,是上一代版本的Hfish,也是不支持ARMV7的,第三个更新时间最快的,就是我们上面下载的。至于这个镜像之间的关系,大家有兴趣自己去摸索啦,这里就不展开了。我们这里直接给出解决方法:在左边侧栏,直接选中架构为ARM系列的。记住ARM64和ARM还是有区别的(有兴趣可以去看看底层指令集区别,这里不加赘述):

    image.png

    然后,你就会看到如下界面,帮你筛选好了,我们点进去,看下详情

    image.png

    可以看到,这是一个一年前的镜像了。也算是官方的一款镜像了,Overview还是比较详细的。

    image.png

    经过我的实际测试,这个是可以用的。我当时觉得,如果这个还不可以的话,我就自己构建armv7版本的镜像了。谢天谢地,还有现成的可以用。所以,正确的步骤为:

    # 拉取镜像docker pull threatbook/hfish-arm32v7
    
    

    第二步:运行容器

    接下来,就是运行容器了。刚刚的详情页面也清楚的讲述了安装方式,我们按照步骤就行。这里我采用的是单机部署,因为集群化的话,树莓派设备吃紧啊!无奈,当然,有金主赞助一波,我给你整个树莓派的kube集群化系统,也不是不行。

    # 运行容器# 说明:# 1\. 第一个22ssh端口我映射到宿主机的24,防止宿主机的端口冲突;记住-p格式 宿主机端口:容器端口# 2\. 数据卷挂载我的是:/mnt/logs:/opt。建议挂载,后期修改配置文件方便docker run -d --name hfish -p 21:21 -p 24:22 -p 23:23 -p 69:69 -p 3306:3306 -p 5900:5900 -p 6379:6379 -p 7879:7879 -p 8080:8080 -p 8081:8081 -p 8989:8989 -p 9000:9000 -p 9001:9001 -p 9200:9200 -p 11211:11211 --restart=always threatbook/hfish-arm32v7:latest
    
    
    image.png

    第三步:查看运行情况

    这里查看方式,分为两种:一个是在docker运行状态查看,另一个是实际生产测试查看。首先是docker查看

    # 查看容器是否运行docker ps# 查看容器日志docker logs -f --tail 100 hfish
    
    
    image.png

    可以看到服务正常运行了,我们来看下实际测试:访问ip:9001能否打开(文档中说的很清楚,这个是后台管理界面)。这里我在测试的时候,发现了无法访问。具体原因是ubuntu的防火墙没开,这里我们直接将所有端口开放(实际生产中,千万不要这么做,很危险)

    # 我这里设备防火墙是iptables,没有安装ufw,所以给出了ipatbles的配置# 1\. 开放所有端口iptables -P INPUT ACCEPTiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPT# 2. 暂时保存,必须要有这步,不然规则没建立iptables-save# 3. 查看规则iptables -L
    
    
    image.png

    防火墙的知识,不赘述。无论你是iptables、ufw、firewall-cmd都差不多,按照教程来就行。来,我们继续访问该管理界面:

    访问规则是:ip+9001端口,我这里是192.168.1.103:9001

    用户名和密码应该是该镜像代码里写死的,我查看配置文件和修改启动方式,都没有该更改密码的选项。原版的账户是:admin,密码是:=HFish@2020=

    image.png

    登入系统后,查看下大致情况

    主界面

    image.png

    监控屏

    image.png

    其他的信息就不看了,虽然比不上最新版本的。但是该有的都有了,包括对接微步在线的接口(可惜要付费,原谅我是个poor person)。

    【备注】

    1. 这里的难点是:树莓派是ARMV7架构,很多镜像支持不了。

    2. 涉及知识点:Docker和防火墙(这个排错花了蛮久的,有时间可以探究下),这里省略。有兴趣去咱们Freebuf主页查看。

    3. 这里安装的HFish是上代版本,与最新有出入,一切以官方文档为准。

    二、kali攻击机环境准备

    这里采取倒叙的手法了,直接说我们需要安装的一些环境。上次文章,只是简单的配置了一些信息,这次用到的工具都没有进行安装,这次补上。

    • Dirseach工具安装

    • BurpSuite工具安装

    这次,就仅仅补上所需的工具,剩下的内容下次会开一个新的专刊系列详细讲述的。上次的文章链接是,忘记的可以去回顾下

    树莓派专刊---搭建kali环境

    Dirsearch安装

    这个是什么工具,不多做赘述,只要记住:信息搜集的时候会用到。网上的安装方法都是直接从github上拉取,然后本地解压,进行运行。这种方式太麻烦了,还需要配置bash等复杂操作。我这里直接忽略踩雷的过程,给出apt安装的方式

    第一步:增加软件源

    为什么是增加清华源,而不是科大或者其他源,是因为我自己实际测试过得出的。

    vim /etc/apt/source.list# 增加以下清华源deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-freedeb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free
    
    
    image.png

    第二步:apt安装

    suo apt-get install dirsearch
    
    
    image.png

    安装完成,直接给你傻瓜化配置好的。直接使用就可以的,不用第一种那种很麻烦的运行方式。上述简单测试下,是可以直接用的。

    Burpsuite的安装

    BP这个工具就不用介绍了,神器!由于树莓派ARMv7的架构和硬件性能的原因,kali安装出来的是不带burpsuite的,需要自己手动安装。并且也没有具备jdk,无论是openjdk还是orancle的jdk都没有。为了后续的破解注册机方便,我们还是直接安装orancle家的jdk8吧。所以步骤分为两步:

    • jdk环境安装

    • BP的安装与破解

    jdk环境安装

    篇幅原因,这里我也不放出自己的翻车记录了,反正也排错了。放出翻车记录,翻车原因还是反复强调的那个点。

    image.png

    第一步:下载jdk

    这里又要强调:树莓派是ARMV7,属于32位的。所以找到32位的对应下载,官网的需要Orancle账号,挺麻烦的,我这里放一个免登陆的下载链接ARM-jdk下载

    image.png

    第二步:解压文件并拷贝去相关位置接下来,将文件拷贝到kali主机,并解压,移动到相关位置

    # 1.解压下载的文件
    
    image.png

    第三步:配置环境变量

    # 1.vim编辑文件.bashrc
    
    image.png

    第四步:安装注册jdk

    # 进入到刚刚复制到文件的/opt/jdk1.8.0_212目录下执行
    

    其中注册的时候,多执行几遍,有提示忽略,继续执行。

    第五步:查看是否安装成功

    java -version
    
    image.png

    BP的安装与破解

    第一步:下载BP安装包与破解文件

    wget https://www.iculture.cc/software/tools/Burp_Suite_Pro_v1.7.37_Loader_Keygen.zip
    

    第二步:解压并拷贝至相关目录

    sudo cp -r burp-loader-keygen.jar burpsuite_pro_v1.7.37.jar /usr/bin
    

    第三步:BP激活

    # 1. 进入该目录
    

    然后就出现了下面界面,点击run

    image.png

    上述操作完成以后,就会出现启动了BP,我们等待加载完成。这里会卡很久,树莓派硬件性能导致的。

    image.png

    接着,出现新界面,将License内容复制到该新出现的框中,点击Next。(注意kali的复制快捷键与其他系统的区别)

    image.png

    下来会出现选择激活方式的界面,我们选择手动激活

    image.png

    然后就会让你继续完善激活码信息,跟激活Navicat差不多。

    按照图中所示操作即可。

    image.png

    最后,点击Next,就会告诉你激活成功了

    image.png

    第四步:设置快捷启动

    1. 在/usr/bin目录下,新建burpsuite,写入以下内容,并赋权

    vim /usr/bin/burpsuite
    

    2. 设置桌面快捷方式

    # 1\. 进入桌面快捷方式目录
    
    image.png

    3. 查看效果,看到已经可以在桌面快捷方式了,并且可以启动。

    image.png

    【备注】

    1. kali攻击环境准备主要是装了Dirsearch和BP工具

    2. 回顾重点:树莓派是ARMV7架构,需要考虑兼容性

    3. 这部分主要是参考的大佬们的文章,感谢各位大佬们

    三、简单攻防演练

    能坚持看到这里的,实在感谢。上述内容确实简写很多了,怕占篇幅太长了。攻防这里,简单演练下吧。毕竟咱们Freebuf站点的师傅相关文章有很多,写的也比较深入,质量比较好,我就不班门弄斧了。我这里就简单扫描下主机、敏感文件、端口啥的。做个信息搜集,看看蜜罐的效果。其实,也想要做爆破啥的,但是有的问题。一个是ssh宿主机端口和docker的问题,第二个是树莓派2B性能太差了,我用BP爆破后台的时候,Ubuntu服务器直接卡机了。如图

    image.png

    综上所述,我们简单搞下,意思意思。

    信息搜集部分

    主要就是扫描下主机与端口,没啥的。工具嘛,会用就行,主要是知道原理和攻击手法。其实,自己都可以写个工具,我就不班门弄斧了。

    这里分别用了Nmap、Dirsearch、Dirbuster等工具,扫描结果发现,无法发现完整的端口情况。刚开始以为是防火墙规则给关闭了,但是实际排错中,应该是Docker网络的问题。后续没有深究了,有空挖掘下。

    Nmap扫描存活主机

    image.png

    Nmap扫描敏感端口

    发现端口扫描对比docker inspect查看容器的,不完整

    image.png image.png

    爆破部分

    爆破考虑到树莓派性能太差,所以就意思了一下

    web后台BP爆破设置

    image.png

    SSH登录Hydra爆破

    并没有成功,可能docker端口与宿主机的端口映射有问题,这里没有深究了。知道的师傅,求请教下。

    image.png

    蜜罐监控部分

    ssh使用hydra爆破,由于端口原因,也没反映到蜜罐上。话不多少,还是直接看蜜罐的效果吧

    仪表盘主页

    image.png image.png

    监控屏

    image.png

    钓鱼列表

    image.png

    也可以设置邮件报警提醒,我这里就没设置了。自己模拟,没啥可报警的。

    image.png

    对接微步的接口,希望微步粑粑能够给个测试的api,我放到公网上,体验下。

    image.png

    四、总结与思考

    总结的话语都在备注里面了,这里就不多加赘述啦!就重复一点:树莓派是ARMv7架构。被这个坑哭了!

    思考:

    1. HFish这个检测逻辑是什么样的?我自己在测试中有感觉,但是无法验证我的正确性。不知道有无师傅解答下
    2. 树莓派能否像虚拟机那样,一个设备同时具备双网卡机制,一个内网,一个外网。我猜测应该可以,下一阶段折腾下
    3. 这两天不是log4j漏洞很火嘛,我想着反正在搭建环境,不如复现一下。充实下内容,跟大家分享下,结果,你看
    image.png

    又是ARMV7兼容性,嗐!玩不了了,还是放云主机吧。不得不说vulfocus的速度是真的快啊!

    相关文章

      网友评论

        本文标题:树莓派--搭建蜜罐

        本文链接:https://www.haomeiwen.com/subject/kiczfrtx.html