一、前言

HFish是一款基於 Golang 開發的跨平臺多功能主動攻擊型蜜罐釣魚平臺框架系統，為了企業安全防護測試做出了精心的打造 釋出版本下載連結：https://github.com/hacklcx/HFish/releases Github: https://github.com/hacklcs/HFish

• 多功能 不僅僅支援 HTTP(S) 釣魚，還支援支援 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗網等蜜罐
• 擴充套件性 提供 API 介面，使用者可以隨意擴充套件釣魚模組 ( WEB、PC、APP )
• 便捷性 使用 Golang 開發，使用者可以在 Win + Mac + Linux 上快速部署一套釣魚平臺

二、叢集搭建

1.環境說明： client01:66.42.68.123（客戶端1） clinet02:144.202.85.37（客戶端1） server:104.156.253.44（服務端） 2.服務端安裝與配置 root@server:~#wgethttps://github.com/hacklcx/HFish/releases/download/0.6.4/HFish-0.6.4-linux-amd64.tar.gz root@server:~#tar zxvf HFish-0.6.4-linux-amd64.tar.gz root@server:~# vi config.ini #需要將statuse修改為1，後臺密碼修改為複雜密碼，db_str資料庫生產環境建議採用mysql遠端連線，這裡測試用自帶的sqlite資料庫，API查詢和上報的認證金鑰可以修改為自己的API key. 只保留HFishconfig.iniweblibs(不啟動 WEB 蜜罐可以刪掉 WEB 目錄) 其他皆可刪掉 root@client01:~# wget https://github.com/hacklcx/HFish/releases/download/0.6.4/HFish-0.6.4-linux-amd64.tar.gz 然後執行命令啟動服務端服務 ./HFishrun
2.客服端1安裝與配置
root@client01:~# tar zxvf HFish-0.6.4-linux-amd64.tar.gz 只保留HFishconfig.iniweblibs(不啟動 WEB 蜜罐可以刪掉 WEB 目錄) 其他皆可刪掉。 root@client01:~# rm -rf admin/ db/ images/ static/ root@client01:~# vi config.ini #需要將statuse修改為2，addr地址和埠修改為伺服器端的IP和埠 然後執行命令啟動客服端服務 ./HFishrun 2.客服端2安裝與配置 root@client02:~# rm -rf admin/ db/ images/ static/ root@client02:~# vi config.ini #需要將statuse修改為2，addr地址和埠修改為伺服器端的IP和埠 然後執行命令啟動客服端服務 ./HFishrun 3.介面展示： 4.監控指令碼 /opt/monitor.sh: #!/bin/bash
procnum=`ps-ef|grep"HFish"|grep-vgrep|wc-l` if[$procnum-eq0];then cd/root/HFish&&nohup./HFish run>>output.log2>&1& fi crontab-e */1 * * * *sh/opt/monitor.sh # 寫入內容，一分鐘執行一次:wq!# 儲存退出即可，請自行檢查是否伺服器是否啟動 crontab 服務 5.黑名單 IP查詢 http://104.156.253.44:9001/api/v1/get/ip?key=X85e2ba265d965b1929148d0f0e33133 6.獲取全部賬號密碼資訊 http://104.156.253.44:9001/api/v1/get/passwd_list?key=X85e2ba265d965b1929148d0f0e33133 7.獲取全部釣魚資訊 http://104.156.253.44:9001/api/v1/get/fish_info?key=X85e2ba265d965b1929148d0f0e33133 8.啟動暗網蜜罐 root@server:/opt# apt-get install tor 修改配置vi/etc/tor/torrc 檔案 HiddenServiceDir /var/lib/tor/hidden_service/ # 新增tor web 目錄 HiddenServicePort80127.0.0.1:8080 # 將本機暗網的網站8080埠對映到暗網80埠
重啟 torroot root@server:# service tor restart 檢視暗網域名 cat/var/lib/tor/hidden_service/hostname 訪問暗網蜜罐 訪問 Tor 官網: https://www.torproject.org 下載 Tor瀏覽器 安裝系統對應版本 啟動 Tor瀏覽器 訪問蜜罐 .onion 字尾域名即
9.代理測試方法 在終端上執行以下命令: http_proxy=http://127.0.0.1:8081 wget -O - http://hfish.io 10.自定義蜜罐新增： # 修改 config.ini [pot_name] status = 1 addr = 0.0.0.0:5901 info = {{addr}} 掃描了該蜜罐 配置引數： pot_name 蜜罐名稱
status 是否啟動 蜜罐 1 啟動 0 關閉 addr 蜜罐 服務端地址 info 告警內容，**{{addr}}** 可選，寫了後會替換為攻擊者 IP 11.與威脅情報聯動配置 12.web釣魚 web釣魚，預設是wordpress模板，可以自定義修改模板如OA或者exchange郵箱 13.郵件告警 如果設定郵箱告警，需要設定正確的賬號和密碼，這裡的密碼是為授權碼