SSH蜜罐Cowrie安装与使用

一款新生上手的开源蜜罐,相关文章很多,在此简单记录

主要是ssh的22端口转发引流利用,个人而言不是很感兴趣,像个人的搬瓦工vps每次安装的ssh都是随机端口,而像国内阿里云的ssh的22端口,云防护了解一下,有时候连个人就读学校ip都访问不了博客服务器

参考:

https://blog.csdn.net/pygain/article/details/65658990
https://lo-li.cn/1202 参考它
https://4hou.win/wordpress/?cat=157
https://github.com/cowrie/cowrie


简单参考:https://lo-li.cn/1202

一.环境准备

当用kali做的时候,很多都找不到依赖库,不去更新kali源的前提换用centos7来简单测试

groupadd cowrie
useradd cowrie -g cowrie
passwd cowrie

服务版本的centos要求密码复杂化

而这个蜜罐基于python的虚拟环境:

yum install wget git gcc-c++ openssl-devel python-devel python-setuptools -y

这里个人把原文的换了,安装先安装pip,再安装 virtualenv

原文( easy_install virtualenv
easy_install pip )

===》

本人操作:(

yum -y install epel-release
yum -y install python-pip
pip install virtualenv

二.蜜罐安装

其他的按照原文继续:

su cowrie
cd ~
git clone https://github.com/micheloosterhof/cowrie.git
cd cowrie/
virtualenv cowrie-env
source cowrie-env/bin/activate
pip install –upgrade pip
pip install –upgrade -r requirements.txt

编辑配置文件:

cp etc/cowrie.cfg.dist cowrie.cfg

端口默认2222

[honeypot]
# 蜜罐里显示的主机名
hostname = ZeroDream-Server
# 日志储存的位置
log_path = var/log/cowrie
# 攻击者下载的文件储存位置
download_path = ${honeypot:state_path}/downloads
# 虚拟的文件共享目录
share_path = share/cowrie
# 静态文件,变量目录
state_path = var/lib/cowrie
# 虚拟系统目录
etc_path = etc
# 虚拟系统内容储存目录
contents_path = honeyfs
# 文本命令储存目录
txtcmds_path = txtcmds
# 是否记录 tty
ttylog = true
# tty 日志储存位置
ttylog_path = ${honeypot:state_path}/tty
# 无操作断开超时时间,默认 180
interactive_timeout = 300
# 登录超时时间,默认 120
authentication_timeout = 120
# 后端类型,默认 shell
backend = shell
# 用户登录类型,默认 UserDB
auth_class = UserDB

[shell]
# 包含虚拟系统配置的 Python 配置文件(喵喵喵?)
filesystem = ${honeypot:share_path}/fs.pickle
# 命令行输出内容(当攻击者执行 ps 命令)
processes = share/cowrie/cmdoutput.json
# 虚拟系统的架构,具体请看默认配置文件
arch = linux-x64-lsb
# 当攻击者执行 uname 命令时输出的内容
kernel_version = 3.2.0-4-amd64
kernel_build_string = #1 SMP Debian 3.2.68-1+deb7u1
hardware_platform = x86_64
operating_system = GNU/Linux

[ssh]
# 是否启用 SSH
enabled = true
# 公钥和私钥
rsa_public_key = ${honeypot:state_path}/ssh_host_rsa_key.pub
rsa_private_key = ${honeypot:state_path}/ssh_host_rsa_key
dsa_public_key = ${honeypot:state_path}/ssh_host_dsa_key.pub
dsa_private_key = ${honeypot:state_path}/ssh_host_dsa_key
# SSH 版本,修改此处可以迷惑攻击者
version = SSH-2.0-OpenSSH_6.0p1 Debian-4+deb7u2
# 监听地址,默认 0.0.0.0
listen_addr = 0.0.0.0
# 监听端口,请不要使用低于 1024 的端口,否则无法运行
listen_port = 2222
# 这里的 2222 和上面的端口保持一致即可
listen_endpoints = tcp:2222:interface=0.0.0.0
# 是否启用 SFTP,我默认关闭了
sftp_enabled = false
# 是否允许 SSH 转发
forwarding = true
# 是否允许 SSH 转发到其他地址
forward_redirect = false
# 是否允许 SSH 转发隧道
forward_tunnel = false

[telnet]
# 是否启用 Telnet
enabled = false
# Telnet 监听地址
#listen_addr = 0.0.0.0
# Telnet 监听端口
#listen_port = 2223
# 这里的 2223 和上面的端口保持一致即可
listen_endpoints = tcp:2223:interface=0.0.0.0

[output_jsonlog]
# 输出 Json 格式日志
enabled = true
# 日志储存位置
logfile = ${honeypot:log_path}/cowrie.json
# 记录时间戳
epoch_timestamp = false

三.开始蜜罐:

bin/cowrie start
iptables -t nat -A PREROUTING -p tcp –dport 22 -j REDIRECT –to-port 2222


可以在/home/cowrie/cowrie/var/log/cowrie/cowrie.log看到:

Ready to accept SSH connections

也是在这个文件看到连接日志

四.测试:

ssh -p22 root@192.168.182.166

在 /home/cowrie/cowrie/var/log/cowrie/cowrie.log 看到信息


五.mysql数据库

参考:https://klionsec.github.io/2017/10/19/cowrie/

mysql数据库文件在/home/cowrie/cowrie/docs/sql

1.安装mysql

2.创建数据库与赋予权限

mysql -u root -p
CREATE DATABASE cowrie;
GRANT ALL ON cowrie.* TO cowrie@localhost IDENTIFIED BY ‘admin’;
flush privileges;

3.导入mysql数据源

use cowrie;
source /home/cowrie/cowrie/docs/sql/mysql.sql;

4.修改配置文件的mysql信息

vi cowrie.cfg
host = localhost
database = cowrie
username = cowrie
password = admin
port = 3306


ok,测试到此结束,所以感觉操作系数不大,没太多学习价值 ,文章都千篇一律

2019.5.2

发表评论

电子邮件地址不会被公开。 必填项已用*标注