SSH-Honeypot For Windows
字数 1639 2025-08-22 18:37:15

Windows SSH 蜜罐部署与使用指南

项目概述

本项目是基于 Windows-OpenSSH 的 SSH 弱口令蜜罐系统,用于诱捕和监控针对 SSH 服务的攻击行为。系统通过创建一个具有弱口令的 SSH 服务账户,并配合自定义伪终端 Bacsh 来限制攻击者的活动范围。

系统组成

  1. 核心组件:

    • Winbacsh.exe: 自定义伪终端,提供隔离环境
    • vshost.exe: 守护进程,防止容器逃逸
    • SSH蜜罐控制进程.exe: 主控制程序

  2. 监控组件:

    • CommandMonitor.exe: 监控用户输入 (1次/秒)
    • ResultMonitor.exe: 监控命令模拟执行结果 (1次/秒)
    • SSHDMonitor.exe: 监控SSHD服务状态 (1次/5秒)

  3. 部署工具:

    • Update.exe: 初始安装程序
    • SSH_Deployment_Program.exe: 全面部署程序

部署流程

自动部署

  1. 运行 Update.exe 进行初始安装

    • 默认安装目录: C:\Users\Public\SSHShell
    • 会在桌面创建快捷方式

  2. 以管理员身份运行 SSH_Deployment_Program.exe

    • 自动设置文件权限
    • 创建弱口令用户
    • 修改注册表配置

  3. 通过 SSH蜜罐控制进程.exe 启动系统

手动配置

  1. The included exe 目录获取编译好的可执行文件
  2. main codemonitor code 目录获取源代码

技术原理

隔离机制

  1. 终端替换:

    • 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\OpenSSH 下的 DefaultShell
    • Winbacsh.exe 替换默认的 cmd.exe

  2. 目录限制:

    • 默认工作目录: C:\Users\kali\Shell
    • 通过 chdir() 函数限制目录变迁

  3. 进程监控:

    • vshost.exe 监控并终止任何 Windows OS_Shell 进程

Bacsh 终端工作机制

输入过滤

  1. 字符过滤:

    • 允许字符: 字母、数字、":"、"-"、"/"
    • 其他可打印字符: 清空命令数组
    • 控制字符: 大部分直接丢弃
    • \033[D\033[C]: 允许光标移动但不记录
    • ASCII 0 字符: 直接终止程序
    • "Z" 键: 退出程序

  2. 命令识别:

    • 内置函数: cat, cd, cls, ls, pwd 及其别名
    • OS_Shell 检测: cmd, powershell, exe 及其变体
    • 其他命令: 返回 PowerShell 错误信息

路径处理

  • cd 命令只接受 C: 开头的绝对路径
  • 实际路径会被重定向到 C:\Users\kali\Shell\

默认配置

  1. 账户信息:

    • 用户名: kali
    • 密码: kjx00000

  2. 目录结构:

    • 安装目录: C:\Users\Public\SSHShell
    • 工作目录: C:\Users\kali\Shell

  3. 可用命令:

    • cd, ls, cat, cls, pwd 及其别名

使用注意事项

  1. 必须以管理员身份运行部署程序
  2. 系统运行期间避免使用 Windows OS_Shell
  3. 推荐在中文简体(代码页936)环境下运行
  4. 屏幕分辨率建议 1920×1080
  5. 测试平台: Windows 10/11 (x86/x64)

开发信息

  1. 开发语言: C 族语言
  2. 开发环境: Windows 11
  3. 完成日期: 2023-10-25
  4. 作者: Jessarin000 (kjx52@outlook.com)

未来计划

  1. 支持更多命令的自定义添加
  2. 加入客户端攻击检测功能
  3. 多语言版本支持

免责声明

本项目为开源特种类项目,用户需自行承担使用风险。任何将本项目用于非法行为的情况,作者均不承担责任。

Windows SSH 蜜罐部署与使用指南 项目概述 本项目是基于 Windows-OpenSSH 的 SSH 弱口令蜜罐系统,用于诱捕和监控针对 SSH 服务的攻击行为。系统通过创建一个具有弱口令的 SSH 服务账户,并配合自定义伪终端 Bacsh 来限制攻击者的活动范围。 系统组成 核心组件 : Winbacsh.exe : 自定义伪终端,提供隔离环境 vshost.exe : 守护进程,防止容器逃逸 SSH蜜罐控制进程.exe : 主控制程序 监控组件 : CommandMonitor.exe : 监控用户输入 (1次/秒) ResultMonitor.exe : 监控命令模拟执行结果 (1次/秒) SSHDMonitor.exe : 监控SSHD服务状态 (1次/5秒) 部署工具 : Update.exe : 初始安装程序 SSH_Deployment_Program.exe : 全面部署程序 部署流程 自动部署 运行 Update.exe 进行初始安装 默认安装目录: C:\Users\Public\SSHShell 会在桌面创建快捷方式 以管理员身份运行 SSH_Deployment_Program.exe 自动设置文件权限 创建弱口令用户 修改注册表配置 通过 SSH蜜罐控制进程.exe 启动系统 手动配置 从 The included exe 目录获取编译好的可执行文件 从 main code 和 monitor code 目录获取源代码 技术原理 隔离机制 终端替换 : 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\OpenSSH 下的 DefaultShell 值 用 Winbacsh.exe 替换默认的 cmd.exe 目录限制 : 默认工作目录: C:\Users\kali\Shell 通过 chdir() 函数限制目录变迁 进程监控 : vshost.exe 监控并终止任何 Windows OS_ Shell 进程 Bacsh 终端工作机制 输入过滤 字符过滤 : 允许字符: 字母、数字、":"、"-"、"/" 其他可打印字符: 清空命令数组 控制字符: 大部分直接丢弃 \033[D 和 \033[C] : 允许光标移动但不记录 ASCII 0 字符: 直接终止程序 "Z" 键: 退出程序 命令识别 : 内置函数: cat , cd , cls , ls , pwd 及其别名 OS_ Shell 检测: cmd , powershell , exe 及其变体 其他命令: 返回 PowerShell 错误信息 路径处理 cd 命令只接受 C: 开头的绝对路径 实际路径会被重定向到 C:\Users\kali\Shell\ 下 默认配置 账户信息: 用户名: kali 密码: kjx00000 目录结构: 安装目录: C:\Users\Public\SSHShell 工作目录: C:\Users\kali\Shell 可用命令: cd , ls , cat , cls , pwd 及其别名 使用注意事项 必须以管理员身份运行部署程序 系统运行期间避免使用 Windows OS_ Shell 推荐在中文简体(代码页936)环境下运行 屏幕分辨率建议 1920×1080 测试平台: Windows 10/11 (x86/x64) 开发信息 开发语言: C 族语言 开发环境: Windows 11 完成日期: 2023-10-25 作者: Jessarin000 (kjx52@outlook.com) 未来计划 支持更多命令的自定义添加 加入客户端攻击检测功能 多语言版本支持 免责声明 本项目为开源特种类项目,用户需自行承担使用风险。任何将本项目用于非法行为的情况,作者均不承担责任。