Ubuntu 24.04 单机蜜罐诱饵实验完整总结

一、实验背景

本次实验围绕蓝队欺骗防御场景展开,目标是在一台 Ubuntu 24.04 主机上模拟蜜罐节点,完成:

伪造内网凭证
设计诱饵文件
诱导红队访问
记录敏感文件读取行为
记录假服务探测行为
形成初步溯源证据链

实验主机信息如下:

主机名:honey-u2404-01
系统版本:Ubuntu 24.04.4 LTS
蜜罐 IP:172.16.11.71
主要服务:Nginx、假 SSH、假 MySQL、假 Redis、假 Jenkins、假 Harbor、假 Elasticsearch
二、诱饵 Web 搭建

首先使用 Nginx 搭建了一个伪装的 OA 系统页面:

OA Office System
Internal Office Automation Platform
ChatGPT Blue Team Decoy Lab

该页面伪装成企业内部办公系统入口,用于吸引红队继续探测。

同时设计了 robots.txt,故意暴露敏感路径:

/config/
/backup/
/docs/
/scripts/
/admin/

这些路径用于引导红队访问诱饵文件。

三、诱饵文件设计

在 Web 目录中放置了多个诱饵文件,包括:

/config/.env
/backup/db_backup.sql
/docs/internal_assets.xlsx.txt
/scripts/backup_mysql.sh

其中 .env 文件中伪造了数据库、Redis、SSH、Jenkins 等内网凭证信息:

DB_HOST=172.16.11.71
DB_PORT=33060

REDIS_HOST=172.16.11.71
REDIS_PORT=63790

SSH_HOST=172.16.11.71
SSH_PORT=2222

JENKINS_URL=http://172.16.11.71:8080

internal_assets.xlsx.txt 中伪造了内网资产清单:

172.16.11.71:2222 ssh-prod
172.16.11.71:33060 mysql-prod
172.16.11.71:63790 redis-prod
172.16.11.71:8080 jenkins-prod
172.16.11.71:5000 harbor-registry
172.16.11.71:9200 elasticsearch-prod

这些信息全部为假凭证和假资产,只用于诱捕和溯源分析。

四、假内网服务监听

为了让红队拿到假凭证后有目标可连接,主机开放了多个假服务端口:

2222 假 SSH
33060 假 MySQL
63790 假 Redis
8080 假 Jenkins
5000 假 Harbor Registry
9200 假 Elasticsearch

通过 nc 监听这些端口,并将连接内容写入:

/opt/decoy/logs/

后续可以通过日志分析红队是否尝试使用假凭证连接假服务。

五、红队访问记录

通过 Nginx 日志成功捕获到来源 IP 172.16.11.60 的访问行为:

17:37:32 GET /
17:37:48 GET /robots.txt
17:38:04 GET /config/.env
17:38:21 GET /backup/db_backup.sql
17:38:32 GET /docs/internal_assets.xlsx.txt

该访问路径说明红队先访问首页,随后读取 robots.txt,并继续访问敏感诱饵文件。

行为特征包括:

敏感目录探测
配置文件读取
数据库备份访问
内网资产清单读取

说明诱饵文件设计成功触发。

六、假服务探测记录

随后从 Kali 对蜜罐主机进行服务扫描,发现假服务端口均已开放:

2222/tcp open ssh
33060/tcp open mysql?
63790/tcp open unknown
8080/tcp open http-proxy Jenkins
5000/tcp open upnp?
9200/tcp open wap-wsp?

在 /opt/decoy/logs/*.log 中也记录到了 Nmap 探测行为,例如:

User-Agent: Nmap Scripting Engine
Host: docker-srv.lan:8080
GET /nmaplowercheck…

这说明假服务不仅能被扫描发现,也能记录红队的探测请求、User-Agent 和部分交互内容。

七、攻击路径还原

本次诱捕链路可以还原为:

红队访问 OA 首页

读取 robots.txt

发现隐藏目录

访问 /config/.env

访问 /backup/db_backup.sql

访问 /docs/internal_assets.xlsx.txt

获取假内网资产和假凭证

扫描 2222 / 33060 / 63790 / 8080 / 5000 / 9200

触发假服务日志记录

该链路形成了完整的诱捕闭环。

八、溯源分析结论

本次实验中,来源 IP 172.16.11.60 对蜜罐主机 172.16.11.71 进行了敏感路径访问和服务探测。

访问者先后读取了 robots.txt、.env、数据库备份文件和内网资产清单,随后对伪造的内网服务端口进行扫描。该行为符合红队在信息收集阶段常见的敏感文件读取、凭证发现和内网资产探测特征。

综合判断:

事件类型:蜜罐诱饵触发事件
源 IP:172.16.11.60
目标 IP:172.16.11.71
触发内容:诱饵文件 + 假服务端口
风险判断:有效红队探测行为
处置建议:记录证据、持续观察、必要时封禁来源 IP
九、实验成果

本次实验完成了以下内容:

1. 使用 Ubuntu 24.04 搭建单机蜜罐节点
2. 使用 Nginx 伪装 OA Web 系统
3. 设计 robots.txt 诱导访问敏感目录
4. 伪造 .env、数据库备份、资产清单等诱饵文件
5. 伪造 SSH、MySQL、Redis、Jenkins、Harbor、Elasticsearch 等内网服务
6. 成功记录红队访问路径
7. 成功记录 Nmap 服务探测行为
8. 形成完整的诱饵访问与溯源证据链
十、后续优化方向

后续可以继续增强:

1. 将假服务做成 systemd 开机自启
2. 接入 HFish 进行统一蜜罐管理
3. 接入防火墙日志,记录东西向访问行为
4. 接入 WAF,分析 Web 攻击请求
5. 接入 ELK / Wazuh / SOC 平台集中分析
6. 为不同诱饵文件设计不同 Token,区分红队使用了哪个凭证
7. 输出标准化溯源报告
总结

本次实验验证了 诱饵文件 + 假内网凭证 + 假服务端口 + 日志记录 的蓝队欺骗防御思路。

通过让红队主动访问伪造的敏感文件,并尝试连接假内网服务,蓝队可以记录来源 IP、访问时间、访问路径、User-Agent、扫描行为和服务探测内容,从而完成对红队行为的发现、追踪和分析。

这套方案适合作为后续 HFish、高交互蜜罐、防火墙联动和 SOC 溯源分析的基础实验环境。

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇