DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 6692|回复: 0

[使用秘籍] WEB 类仿真模板配置方法

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2021-8-2 15:49:47 | 显示全部楼层 |阅读模式
一、保存仿真页面



1、用网站下载工具或者浏览器下载功能下载保存需要仿真的网站页面,以下以浏览器下载保存为例介绍具体操作方法。用浏览器浏览需要仿真的网页,用浏览器保存网页功能将网页保存到本地。保存时候注意文件名用英文,保存类型选择保存全部内容。





2、将保存下来的网页以及依赖的图片等资源文件用 zip 格式进行打包。



3、将打包好的 zip 文件名更改为 res_package.zip 待用。

说明:res_package.zip 为仿真模板资源文件压缩包保留名称,当上传的压缩包文件名为此文件名时,则会自动解压包里的文件放置到 data 目录下。

二、创建仿真模板



1、登录 DecoyMini 管理中心,打开“仿真模板”功能。



2、点击 WEB 仿真模板“创建子模板”来创建一个新的 WEB 仿真子模板。



3、输入子模板信息后,点击“创建”后则子模板创建成功。





4、打开新创建的仿真模板配置界面,编辑必要的基础信息,如模板名称、事件日志类型、类别等。



5、切换到“资源文件”标签,在资源文件左侧目录树中选择“data”,在右侧操作区点击“上传文件”,选择刚制作好的资源文件包 res_package.zip 文件进行上传。







6、上传完成后,则可以在文件列表里看到 res_package.zip 包里的文件列表。



7、当资源文件上传完毕后,点击“应用”按钮发布资源文件。



8、切换到“参数设置”和“响应数据”标签,将攻击者的访问请求和资源文件做关联。点击“参数设置”可以查看当前HTTP引擎已支持解析的各种请求参数。



在响应数据里根据请求的参数可以配置相应的应答数据。



9、在本例中,需要将攻击者访问根路径与资源文件的 index.html 关联。编辑名称为“首页”的响应数据项,编辑响应数据输入 index.html,则攻击者访问根路径的请求服务端将响应 index.html 里的内容。



10、完成编辑后 “发布”仿真模板,发布后的仿真模板就可以在诱捕策略里部署和应用。



三、部署蜜罐



1、在诱捕策略里,点击“增加”按钮,增加一个诱捕器(蜜罐)。



2、选择刚发布的“新华网”模板,配置名称以及访问的地址和端口等信息,点击“确定”进行保存。



注意:大家配置 WEB 蜜罐设置端口应该尽量避免以下这些 Chrome 默认非安全端口,否则可能导致蜜罐无法正常访问:
  1. 1, // tcpmux
  2. 7, // echo
  3. 9, // discard
  4. 11, // systat
  5. 13, // daytime
  6. 15, // netstat
  7. 17, // qotd
  8. 19, // chargen
  9. 20, // ftp data
  10. 21, // ftp access
  11. 22, // ssh
  12. 23, // telnet
  13. 25, // smtp
  14. 37, // time
  15. 42, // name
  16. 43, // nicname
  17. 53, // domain
  18. 77, // priv-rjs
  19. 79, // finger
  20. 87, // ttylink
  21. 95, // supdup
  22. 101, // hostriame
  23. 102, // iso-tsap
  24. 103, // gppitnp
  25. 104, // acr-nema
  26. 109, // pop2
  27. 110, // pop3
  28. 111, // sunrpc
  29. 113, // auth
  30. 115, // sftp
  31. 117, // uucp-path
  32. 119, // nntp
  33. 123, // NTP
  34. 135, // loc-srv /epmap
  35. 139, // netbios
  36. 143, // imap2
  37. 179, // BGP
  38. 389, // ldap
  39. 465, // smtp+ssl
  40. 512, // print / exec
  41. 513, // login
  42. 514, // shell
  43. 515, // printer
  44. 526, // tempo
  45. 530, // courier
  46. 531, // chat
  47. 532, // netnews
  48. 540, // uucp
  49. 556, // remotefs
  50. 563, // nntp+ssl
  51. 587, // stmp
  52. 601, //
  53. 636, // ldap+ssl
  54. 993, // ldap+ssl
  55. 995, // pop3+ssl
  56. 2049, // nfs
  57. 3659, // apple-sasl / PasswordServer
  58. 4045, // lockd
  59. 6000, // X11
  60. 6665, // Alternate IRC [Apple addition]
  61. 6666, // Alternate IRC [Apple addition]
  62. 6667, // Standard IRC [Apple addition]
  63. 6668, // Alternate IRC [Apple addition]
  64. 6669, // Alternate IRC [Apple addition]
复制代码
3、策略编辑完成后,点击“应用”按钮则将会应用配置的诱捕策略。



4、访问诱捕策略里配置的对应地址和端口就可以访问到仿真的 WEB 站点。



5、攻击者访问蜜罐后,在系统的诱捕日志和风险事件里可以查看到相关的日志和告警信息。





四、分享仿真模板



1、在分享仿真模板前建议先完善作者信息。以便其他用户在使用分享的模板过程中方便沟通和交流。



2、仿真模板完成编辑后,点击“发布”按钮完成发布,发布后的模板就可以导出仿真模板了。



仿真模板导出支持 3 种模式,分别是:

  • 只读:模板其他用户导入后只能使用,不能编辑和修改;
  • 公开:模板其他用户导入后可以编辑和修改除开原作者信息外的内容;
  • 自由:模板其他用户导入后可以编辑和修改模板任意内容;

系统推荐以“公开”模式来导出模板。



3、导出的模板文件为 *.stp 文件,可以将模板文件上传到 http://bbs.decoyit.com/template.php 分享



4、针对分享了高质量仿真模板的用户,系统管理员评估后将会给予其丰富的激励。详细激励计划请查阅 DecoyMini 技术论坛相关内容。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 11:31 , Processed in 0.074097 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表