centos7 下搭建 hfish 2.1.0

HFish是一款基于 Golang 开发的跨平台多功能主动攻击型蜜罐网络钓鱼平台框架系统，为了企业安全防护测试做出了精心的打造

HFish 开发的官网：https://hfish.io

HFish地址

• 主页：https://gitee.com/lauix/HFish
• 下载: https://gitee.com/lauix/HFish/releases

hfish-linux-amd64.tar.gz　　用xssh上传到centos7中

解压

mkdir hfish
tar zxvf hfish-2.1.2-linux-amd64.tar.gz -C hfish

直接运行server，或者后台运行nohup ./server &

./server
nohup ./server &　　#后台命令可以将进程后台挂起，而不影响终端使用 nohup详情：https://www.runoob.com/linux/linux-comm-nohup.html

关闭server进程
ps -aux | grep "server"
找到对应的pid，然后使用kill命令

其中的README.md文件已经写得很清楚

hfish 支持sqlite 和mysql ， 这里我是使用的是mysql

在/db/sql/mysql 下有sql文件

已经有创建数据库的sql语句了，先建一个用户

首先root进入mysql
mysql -u root -p
create user 'hfish'@'localhost' identified by 'hfish';
grant all on hfish.* to 'hfish'@'localhost' identified by 'hfish';

执行sql文件

mysql -u hfish -p < V2.1.0__mysql.sql

可以在/var/lib/mysql下看到hfish数据库

修改config.ini  来连接mysql　　， 修改如下两项即可

type = mysql
url = hfish:hfish@tcp(:3306)/hfish?charset=utf8&parseTime=true&loc=Local

#hfish:hfish    对应的是  用户名:密码

但是我访问192.168.43.8:4433 时

我始终找不到原因，最后在web/assets/OneFishV2.1帮助文档.pdf 文件的后面找到了原因

登录url

https://192.168.43.8:4433/web/

默认密码

admin
HFish2021　　

登录后，它会弹框修改默认密码

重置密码

需要重置密码，请切换到 server/tools 文件夹：

cd server/tools

然后执行：

./tools resetpwd

如果看到 reset admin password success，那就重置成功了

情报对接

通过注册微步在线获得 API Key  ，每天有免费的额度

微步在线： x.threatbook.cn

通知配置

使用钉钉与企业微信的webhook都没用

企业微信：

https://work.weixin.qq.com/help?doc_id=13376#%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8%E7%BE%A4%E6%9C%BA%E5%99%A8%E4%BA%BA

钉钉官方文档：（安全策略选择 ip白名单）

https://ding-doc.dingtalk.com/doc#/serverapi2/qf2nxq

钉钉网页版：https://im.dingtalk.com/

钉钉群机器人开发接口：https://www.cnblogs.com/tjp40922/p/11299023.html

试了这两个都没用，但是webhook是有用的，成功发送了消息到钉钉群

import requests
import json

def dingTalk():
    headers={
        "Content-Type": "application/json"
            }
    data={"msgtype": "text",
            "text": {
                 "content": "我就是我, 是不一样的烟火"
            }
          }
    json_data=json.dumps(data)
    requests.post(url='https://.......',data=json_data,headers=headers)
dingTalk()

 告警策略

 模板管理

默认有两个模板，也可以自定义添加模板，新建模板可以就选择ssh，当然还可以其他组合

这里我们新建一个wordpress模板

节点管理

复制命令到linux下执行就好了

由于之前我已经开启了通用模板，节点貌似只能开一个

在防火墙开通9090端口，然后访问

模拟了登录页面

然后我尝试输入，按理HFish会出现攻击的，结果没有

我只要尝试登陆，蜜罐场景就会+1，不过没报攻击方ip地址，奇怪

我节点用研发测试模板，就会报

然后我关闭页面，重新加载页面，又出现了

其中详情记录了我尝试登录的用户名和密码

这里唯一遗憾的一点是，webhook配置不上

~~~~~~我干到凌晨一点终于配置成功了，md使用的就只是token，就把token填上就好

通过抓包测出来的

成功了，最后完美结束了

good night

钉钉 robot 的 security settings 使用关键字 HFish

吐了： elasticsearch 蜜罐不会发出警报  （熬到我1:30）

参考：

https://gitee.com/lauix/HFish

钉钉群机器人开发接口：https://www.cnblogs.com/tjp40922/p/11299023.html