Sh4dow's Blog

活了二十几年,从来没有人给过我一次意外感动或惊喜,也没有人在我生日的时候给过我特别的礼物,生病的时候得到的只是一些不在身边的语言安慰,也不见谁真正的照顾过自己,甚至有的时候自己蒙头睡一觉就好了,也有人喜欢过我,但是从没见谁坚持过。

蜜罐Kippo详细安装教程使用(一)

包含Kippo,Kippo-Graph使用。这节是安装,后期会加入Splunk的日志统计分析,预期SSH+WEB 蜜罐搭建。

0x01环境

安装系统:Centos7

0x02:搭建

刚安装的可以更新一下源:

wget-O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

sudo yum -y install epel-release  扩展源


安装PIP

sudo yum -y install epel-release

sudo yum -y install python-pip

----正题

cd /home/

wget https://github.com/desaster/kippo/archive/master.zip

unzip master.zip

安装时需要安装一些软件:

  • PyCrypto

  • Zope Interface

  • Twisted 8.0 to 15.1.0

    其中最重要的是Twisted 。一定要是15.1.0。  

    15.2.0之后会导致Mysql 无法导入日志进数据库.

yum install  python-zope-interface python-pyasn1 openssl-devel  python-devel

pip install PyCrypto

其中Twisted单独安装。

pip install service_identity

pip2 install twisted==15.1.0

安装完成后:

mv kippo-master kippo

增加用户:

useradd kippo

修改权限:

chown -R kippo:kippo

cd kippo

修改配置文件名字

cp kippo.cfg.dist kippo.cfg


iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-ports 2222

把22端口转发到2222端口上,kippo的配置文件已经监听了2222端口,修改方式在kippo.cfg上面。之前先修改一下SSH端口。

修改方式:

vi /etc/ssh/sshd_config

#Port 22         //这行去掉#号,防止配置不好以后不能远程登录

Port 33378//下面添加这一行

systemctl restart sshd.service   重启ssh生效。

---

安装mysql数据库,需要更新一下源。

更新一下:

$ wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm

安装rpm会有2个源出来。

sudo rpm -ivh mysql-community-release-el7-5.noarch.rpm

sudo yum install mysql-server mysql

开启mysql:

systemctl startmysql

mysql -uroot

create database kippo;

开启远程访问权限:

grant all privileges on *.* to 'kippo'@'%'identified by 'kippo' with grant option;

grant all on kippo.* TO'kipposql'@'localhost' identified by 'kippo';

两个其中一个都可以。

导入数据库配置文件:

mysql -ukippo -p -Dkippo < /home/kippo/doc/sql/mysql.sql

修改kippo的配置文件:

[database_mysql]

host = localhost

database = kippo

username = kippo

password = kippo

port = 3306

安装python-mysql

yum -y install python-devel mysql-devel  MySQL-python

0x03  Kippo-Graph

安装环境

yum install httpd php php-mysql php-gd php-curl

wget http://bruteforce.gr/wp-content/uploads/kippo-graph-1.5.1.tar.gz

下载后解压到/var/www/html/kippo目录

cd /var/www/html/kippo

cp config.php.dist config.php

vim config.php

修改配置文件。

写入内容:

define('DIR_ROOT', '/var/www/html/kippo');  

define('DB_HOST', 'localhost');

define('DB_USER', 'kippo');

define('DB_PASS', 'kippo');

define('DB_NAME', 'kippo');

define('DB_PORT', '3306');

chmod 777 /var/www/html/kippo/generated-graphs/

启动HTTP:

/bin/systemctlstart httpd.service

再切换到kippo用户:

su - kippo

进入 /home/kippo/目录

cd /home/kippo/

./start.sh


----

PS:

实时动态打印出执行命令操作:

python playlog.py   /home/kippo/log/tty/20161215-005119-3797.log

WEB:

访问日志文件:/etc/httpd/logs/access_log

 错误日志文件:/etc/httpd/logs/error_log

主配置文件:/etc/httpd/conf/http.conf 


可以在access_log中查看日志,这里会装splunk_forward导入到splunk 与kippo的日志一起进入数据库分析。

--------

centos 可能会提示/kippo目录不能访问。。要关闭selinux,关闭方式:

关闭SELINUX
setenforce 0


vim /etc/selinux/config
修改
SELINUX=enforcing
改成
SELINUX=disabled


修改时区

timedatectl set-timezone Asia /Shanghai # 设置系统时区为上海 

ntpdate s2k.time.edu.cn


关闭防火墙systemctl stopfirewalld.service   

Ssh重启:systemctlrestart sshd.service

Httpd 启动:/bin/systemctlstart httpd.service

MYSQL启动:systemctl startmysql



文件说明:

data: 存放ssh key,lastlog.txt和userdb.txt

lastlog.txt:last命令的输出,即存储了登陆蜜罐的信息,也可以伪造 

userdb.txt:可以登陆的用户,可以给一个用户设置多个密码,一个用户一行 格式为username:uid:password


安装完成后的效果图:








有个简单把kippo本地的TXT文件直接导入进数据库(工具):

https://bruteforce.gr/wp-content/uploads/kippo2mysql-0.2.tar
















---------------------------

PS:

2017-2-9  统一所有更新命令


yum update

yum -y install ntp

timedatectl set-timezone Asia/Shanghai

ntpdate -u cn.pool.ntp.org

----

yum -y install wget

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

yum clean all && yum makecache

sudo yum -y install epel-release

安装PIP

sudo yum -y install net-tools libpcap-devel python-pip unzip python-zope-interface python-pyasn1 openssl-devel   gcc-c++ MySQL-python  python-devel  

pip install service_identity PyCrypto MySQL-python

pip2 install twisted==15.1.0

pip install redis dpkt  pypcap

adduser kippo

wget http://10.115.25.130/kippo.zip

unzip kippo.zip -d /home/kippo/

cd /home

chown -R kippo:kippo  kippo

-------网卡安装

#pip install redis dpkt  pypcap

#yum install  libpcap-devel

#pip install pypcap

#安装pyscanlog

wget http://10.115.25.130/pyscanlogd.zip

setup.py install

-------http

yum -y install httpd php php-mysql php-gd php-curl

wget http://10.115.25.130/www.zip

unzip  www.zip -d /var/www/html/

systemctl enable httpd.service

systemctl stop firewalld.service   

systemctl disable firewalld.service

wget http://10.115.25.130/http.py

wget http://10.115.25.130/port.py

systemctl enable httpd.service

------启动

chmod +x /etc/rc.d/rc.local

vi /etc/rc.d/rc.local

-------------------

/bin/su kippo  -c  "/home/kippo/start.sh"

iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-ports 2222

python /home/port.py &

python /home/http.py &


------------------2

setenforce 0

vi /etc/selinux/config

修改SELINUX=disabled


修改SSH端口

vi /etc/ssh/sshd_config

#Port 22         //这行去掉#号

Port 20000      //下面添加这一行

systemctl restart sshd.service




配置静态IP+

vi /etc/sysconfig/network-scripts/ifcfg-ens33


#BOOTPROTO=dhcp

ONBOOT=yes

IPADDR=10.114.21.231

GATEWAY=10.114.21.1

DNS1=10.100.100.100

NETMASK=255.255.255.0

----------------------------------

vi /etc/rc.d/rc.local


yum install  supervisor


cd /etc/supervisord.d


wget  10.115.25.130/http.ini

wget  10.115.25.130/port.ini

-----super

[program:http]

command=python /home/http.py

autostart=true

autorestart=true

stdout_logfile=/home/http.log

redirect_stderr=true



[program:port]

command=python /home/port.py

autostart=true

autorestart=true

stdout_logfile=/home/port.log

redirect_stderr=true



supervisord开机启动:



sudo vi /lib/systemd/system/supervisor.service


[unit]

Description=supervisor

After=network.target


[Service]

Type=forking

ExecStart=/usr/bin/supervisord -c /etc/supervisord.conf

PrivateTmp=true


[Install]

WantedBy=multi-user.target



# 启动服务

$ sudo systemctl start supervisor


# 开机自启动

$ sudo systemctl enable supervisor


评论
热度 ( 1 )

© Sh4dow's Blog | Powered by LOFTER