切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
328 蜜罐 Port — Nepenthes[复制链接]
发表于 2012-10-20 16:27:03 | 显示全部楼层 |!read_mode!

必须熟悉 死记

http://crypto.nknu.edu.tw/psnl/publications/2009IMP_Honeypot.pdf

http://www.doc88.com/p-909874896512.html

http://jitas.im.cpu.edu.tw/2009/5.pdf

介绍

Nepenthes提供足够的通用Windows服务的仿真技术以欺骗多数自动的攻击,并能自动保存恶意的负载以收集恶意代码样本。

安装
  1. root@Dis9Team:~# apt-get install nepenthes
复制代码
配置

主配置

  1. root@Dis9Team:~# file /etc/nepenthes/nepenthes.conf
  2. /etc/nepenthes/nepenthes.conf: ASCII C++ program text
  3. root@Dis9Team:~#
复制代码
蜜罐服务器配置:

  1. root@Dis9Team:/etc/nepenthes# ls
  2. download-csend.conf  module-honeytrap.conf   submit-norman.conf    vuln-lsass.conf        vuln-sasserftpd.conf
  3. download-curl.conf   module-portwatch.conf   submit-postgres.conf  vuln-msdtc.conf        vuln-sub7.conf
  4. download-ftp.conf    nepenthes.conf          vuln-asn1.conf        vuln-msmq.conf         vuln-upnp.conf
  5. download-link.conf   shellcode-generic.conf  vuln-bagle.conf       vuln-mssql.conf        vuln-veritas.conf
  6. download-tftp.conf   signatures              vuln-dameware.conf    vuln-mydoom.conf       vuln-wins.conf
  7. log-download.conf    submit-file.conf        vuln-dcom.conf        vuln-netbiosname.conf  x-2.conf
  8. log-irc.conf         submit-gotek.conf       vuln-ftpd.conf        vuln-netdde.conf
  9. log-prelude.conf     submit-http.conf        vuln-iis.conf         vuln-optix.conf
  10. log-surfnet.conf     submit-mwserv.conf      vuln-kuang2.conf      vuln-pnp.conf
  11. root@Dis9Team:/etc/nepenthes#
复制代码

一个势力:

  1. root@Dis9Team:/etc/nepenthes# cat vuln-mssql.conf
  2. vuln-mssql
  3. {
  4.     port            "1434";
  5.     accepttimeout   "30";
  6. };
  7. root@Dis9Team:/etc/nepenthes#
复制代码

默认主配置包含全部服务 ,如果不需要请用//注释日志默认日志记录

  1. root@Dis9Team:/etc/nepenthes# cat submit-file.conf
  2. submit-file
  3. {
  4.     path "/var/lib/nepenthes/binaries/";
  5. };
  6.    
  7. root@Dis9Team:/etc/nepenthes# cat log-download.conf
  8. log-download
  9. {
  10.     downloadfile    "/var/log/nepenthes/logged_downloads"; // log download attempts
  11.     submitfile    "/var/log/nepenthes/logged_submissions"; // log successfull downloads
  12. };
复制代码

邮箱日志记录
  1. root@Dis9Team:/etc/nepenthes# cat submit-norman.conf
  2. submit-norman
  3. {
  4.         // this is the adress where norman sandbox reports will be sent
  5.         email   "nsbx@mwcollect.org";
  6.         urls        ("http://www.norman.com/microsites/nsic/Submit/Special/45773/",
  7.                  "http://luigi.informatik.uni-mannheim.de/submit.php?action=verify");

  8. };
复制代码

启动
  1. root@Dis9Team:/etc/nepenthes# /etc/init.d/nepenthes start
  2. Starting nepenthes: nepenthes.
  3. root@Dis9Team:/etc/nepenthes#
复制代码
查看端口
  1. root@Dis9Team:/etc/nepenthes# netstat -antp
  2. Active Internet connections (servers and established)
  3. Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
  4. tcp        0      0 0.0.0.0:1023            0.0.0.0:*               LISTEN      3111/nepenthes  
  5. tcp        0      0 0.0.0.0:1025            0.0.0.0:*               LISTEN      3111/nepenthes  
  6. tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      3111/nepenthes  
  7. tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      3111/nepenthes  
  8. tcp        0      0 0.0.0.0:3140            0.0.0.0:*               LISTEN      3111/nepenthes  
  9. tcp        0      0 0.0.0.0:135             0.0.0.0:*               LISTEN      3111/nepenthes  
  10. tcp        0      0 0.0.0.0:5000            0.0.0.0:*               LISTEN      3111/nepenthes  
  11. tcp        0      0 0.0.0.0:42              0.0.0.0:*               LISTEN      3111/nepenthes  
  12. tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      3111/nepenthes  
  13. tcp        0      0 127.0.0.1:587           0.0.0.0:*               LISTEN      2879/sendmail: MTA:
  14. tcp        0      0 0.0.0.0:3372            0.0.0.0:*               LISTEN      3111/nepenthes  
  15. tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      3111/nepenthes  
  16. tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      3111/nepenthes  
  17. tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      3111/nepenthes  
  18. tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      3111/nepenthes  
  19. tcp        0      0 0.0.0.0:6129            0.0.0.0:*               LISTEN      3111/nepenthes  
  20. tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      3111/nepenthes  
  21. tcp        0      0 0.0.0.0:5554            0.0.0.0:*               LISTEN      3111/nepenthes  
  22. tcp        0      0 0.0.0.0:27347           0.0.0.0:*               LISTEN      3111/nepenthes  
  23. tcp        0      0 0.0.0.0:17300           0.0.0.0:*               LISTEN      3111/nepenthes  
  24. tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      3111/nepenthes  
  25. tcp        0      0 192.168.122.1:53        0.0.0.0:*               LISTEN      2426/dnsmasq   
  26. tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1499/sshd      
  27. tcp        0      0 0.0.0.0:3127            0.0.0.0:*               LISTEN      3111/nepenthes  
  28. tcp        0      0 0.0.0.0:2103            0.0.0.0:*               LISTEN      3111/nepenthes  
  29. tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1992/cupsd      
  30. tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      1517/postgres   
  31. tcp        0      0 0.0.0.0:2105            0.0.0.0:*               LISTEN      3111/nepenthes  
  32. tcp        0      0 0.0.0.0:2745            0.0.0.0:*               LISTEN      3111/nepenthes  
  33. tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2879/sendmail: MTA:
  34. tcp        0      0 0.0.0.0:2107            0.0.0.0:*               LISTEN      3111/nepenthes  
  35. tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      3111/nepenthes  
  36. tcp        0      0 0.0.0.0:220             0.0.0.0:*               LISTEN      3111/nepenthes  
  37. tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      3111/nepenthes  
  38. tcp6       0      0 :::22                   :::*                    LISTEN      1499/sshd      
  39. tcp6       0      0 ::1:631                 :::*                    LISTEN      1992/cupsd      
  40. root@Dis9Team:/etc/nepenthes#
复制代码


发现多了很多 并且由nepenthes 监听并且用户组不是ROOT 模仿服务
  1. root@Dis9Team:~# lsof -i
  2. COMMAND    PID      USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
  3. avahi-dae  592     avahi   13u  IPv4   7247      0t0  UDP *:mdns
  4. avahi-dae  592     avahi   14u  IPv6   7248      0t0  UDP *:mdns
  5. avahi-dae  592     avahi   15u  IPv4   7249      0t0  UDP *:47047
  6. avahi-dae  592     avahi   16u  IPv6   7250      0t0  UDP *:52586
  7. dhclient3 1326      root    5u  IPv4   7378      0t0  UDP *:bootpc
  8. sshd      1499      root    3r  IPv4   9053      0t0  TCP *:ssh (LISTEN)
  9. sshd      1499      root    4u  IPv6   9055      0t0  TCP *:ssh (LISTEN)
  10. postgres  1517  postgres    3u  IPv4   9242      0t0  TCP localhost:postgresql (LISTEN)
  11. postgres  1517  postgres    7u  IPv4   9300      0t0  UDP localhost:41786->localhost:41786
  12. postgres  1931  postgres    7u  IPv4   9300      0t0  UDP localhost:41786->localhost:41786
  13. postgres  1932  postgres    7u  IPv4   9300      0t0  UDP localhost:41786->localhost:41786
  14. postgres  1933  postgres    7u  IPv4   9300      0t0  UDP localhost:41786->localhost:41786
  15. postgres  1934  postgres    7u  IPv4   9300      0t0  UDP localhost:41786->localhost:41786
  16. cupsd     1992      root    5u  IPv6   9869      0t0  TCP ip6-localhost:ipp (LISTEN)
  17. cupsd     1992      root    6u  IPv4   9870      0t0  TCP localhost:ipp (LISTEN)
  18. dnsmasq   2426    nobody    5u  IPv4  11544      0t0  UDP *:bootps
  19. dnsmasq   2426    nobody    6u  IPv4  11550      0t0  UDP Dis9Team.local:domain
  20. dnsmasq   2426    nobody    7u  IPv4  11551      0t0  TCP Dis9Team.local:domain (LISTEN)
  21. sendmail- 2879      root    4u  IPv4  17216      0t0  TCP localhost:smtp (LISTEN)
  22. sendmail- 2879      root    5u  IPv4  17217      0t0  TCP localhost:submission (LISTEN)
  23. nepenthes 3111 nepenthes    6u  IPv4  17771      0t0  TCP *:pop3 (LISTEN)
  24. nepenthes 3111 nepenthes    7u  IPv4  17772      0t0  TCP *:imap2 (LISTEN)
  25. nepenthes 3111 nepenthes    8u  IPv4  17773      0t0  TCP *:imap3 (LISTEN)
  26. nepenthes 3111 nepenthes    9u  IPv4  17774      0t0  TCP *:ssmtp (LISTEN)
  27. nepenthes 3111 nepenthes   10u  IPv4  17775      0t0  TCP *:imaps (LISTEN)
  28. nepenthes 3111 nepenthes   11u  IPv4  17776      0t0  TCP *:pop3s (LISTEN)
  29. nepenthes 3111 nepenthes   12u  IPv4  17777      0t0  TCP *:2745 (LISTEN)
  30. nepenthes 3111 nepenthes   13u  IPv4  17778      0t0  TCP *:6129 (LISTEN)
  31. nepenthes 3111 nepenthes   14u  IPv4  17779      0t0  TCP *:loc-srv (LISTEN)
  32. nepenthes 3111 nepenthes   15u  IPv4  17780      0t0  TCP *:microsoft-ds (LISTEN)
  33. nepenthes 3111 nepenthes   16u  IPv4  17781      0t0  TCP *:1025 (LISTEN)
  34. nepenthes 3111 nepenthes   17u  IPv4  17782      0t0  TCP *:ftp (LISTEN)
  35. nepenthes 3111 nepenthes   18u  IPv4  17783      0t0  TCP *:https (LISTEN)
  36. nepenthes 3111 nepenthes   19u  IPv4  17784      0t0  TCP *:17300 (LISTEN)
  37. nepenthes 3111 nepenthes   20u  IPv4  17785      0t0  TCP *:2103 (LISTEN)
  38. nepenthes 3111 nepenthes   21u  IPv4  17786      0t0  TCP *:eklogin (LISTEN)
  39. nepenthes 3111 nepenthes   22u  IPv4  17787      0t0  TCP *:2107 (LISTEN)
  40. nepenthes 3111 nepenthes   23u  IPv4  17788      0t0  TCP *:3372 (LISTEN)
  41. nepenthes 3111 nepenthes   24u  IPv4  17789      0t0  UDP *:ms-sql-m
  42. nepenthes 3111 nepenthes   25u  IPv4  17790      0t0  TCP *:3127 (LISTEN)
  43. nepenthes 3111 nepenthes   26u  IPv4  17791      0t0  TCP *:netbios-ssn (LISTEN)
  44. nepenthes 3111 nepenthes   27u  IPv4  17792      0t0  TCP *:3140 (LISTEN)
  45. nepenthes 3111 nepenthes   28u  IPv4  17793      0t0  TCP *:5554 (LISTEN)
  46. nepenthes 3111 nepenthes   29u  IPv4  17794      0t0  TCP *:1023 (LISTEN)
  47. nepenthes 3111 nepenthes   30u  IPv4  17795      0t0  TCP *:27347 (LISTEN)
  48. nepenthes 3111 nepenthes   31u  IPv4  17796      0t0  TCP *:5000 (LISTEN)
  49. nepenthes 3111 nepenthes   32u  IPv4  17797      0t0  TCP *:webmin (LISTEN)
  50. nepenthes 3111 nepenthes   33u  IPv4  17798      0t0  TCP *:nameserver (LISTEN)
  51. nepenthes 3111 nepenthes   34u  IPv4  17799      0t0  TCP *:www (LISTEN)
  52. nepenthes 3111 nepenthes   35u  IPv4  20058      0t0  TCP localhost:webmin->localhost:44020 (ESTABLISHED)
  53. nepenthes 3111 nepenthes   39u  IPv4  20071      0t0  TCP localhost:imaps->localhost:43548 (ESTABLISHED)
  54. nepenthes 3111 nepenthes   43u  IPv4  20054      0t0  TCP localhost:6129->localhost:50429 (ESTABLISHED)
  55. nepenthes 3111 nepenthes   47u  IPv4  20072      0t0  TCP localhost:https->localhost:38769 (ESTABLISHED)
复制代码

nmap扫描测试
  1. root@Dis9Team:/etc/nepenthes# nmap -sT 127.0.0.1

  2. Starting Nmap 5.51 ( http://nmap.org ) at 2012-10-13 03:29 PDT
  3. Nmap scan report for localhost (127.0.0.1)
  4. Host is up (0.00042s latency).
  5. Not shown: 974 closed ports
  6. PORT      STATE SERVICE
  7. 21/tcp    open  ftp
  8. 22/tcp    open  ssh
  9. 25/tcp    open  smtp
  10. 42/tcp    open  nameserver
  11. 80/tcp    open  http
  12. 110/tcp   open  pop3
  13. 135/tcp   open  msrpc
  14. 139/tcp   open  netbios-ssn
  15. 143/tcp   open  imap
  16. 443/tcp   open  https
  17. 445/tcp   open  microsoft-ds
  18. 465/tcp   open  smtps
  19. 587/tcp   open  submission
  20. 631/tcp   open  ipp
  21. 993/tcp   open  imaps
  22. 995/tcp   open  pop3s
  23. 1023/tcp  open  netvenuechat
  24. 1025/tcp  open  NFS-or-IIS
  25. 2103/tcp  open  zephyr-clt
  26. 2105/tcp  open  eklogin
  27. 2107/tcp  open  msmq-mgmt
  28. 3372/tcp  open  msdtc
  29. 5000/tcp  open  upnp
  30. 5432/tcp  open  postgresql
  31. 6129/tcp  open  unknown
  32. 10000/tcp open  snet-sensor-mgmt

  33. Nmap done: 1 IP address (1 host up) scanned in 0.10 seconds
  34. root@Dis9Team:/etc/nepenthes#
复制代码


这些端口都是伪造的
  1. 用nmap脚本扫描下bug
  2. <pre>root@Dis9Team:/pen/nmap/share/nmap/scripts# nmap --script=smb-check-vulns.nse 127.0.0.1 -p 445

  3. Starting Nmap 5.51 ( http://nmap.org ) at 2012-10-13 03:40 PDT
  4. Nmap scan report for localhost (127.0.0.1)
  5. Host is up (0.000054s latency).
  6. PORT    STATE SERVICE
  7. 445/tcp open  microsoft-ds

  8. Host script results:
  9. | smb-check-vulns:
  10. |   Conficker: UNKNOWN; got error SMB: Failed to receive bytes after 5 attempts: EOF
  11. |   regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)
  12. |   SMBv2 DoS (CVE-2009-3103): CHECK DISABLED (add '--script-args=unsafe=1' to run)
  13. |   MS06-025: CHECK DISABLED (remove 'safe=1' argument to run)
  14. |_  MS07-029: CHECK DISABLED (remove 'safe=1' argument to run)

  15. Nmap done: 1 IP address (1 host up) scanned in 62.01 seconds
  16. root@Dis9Team:/pen/nmap/share/nmap/scripts#
复制代码






操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-9-28 10:31

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部