利用 python 脚本 PyRdp 设置 RDS 服务器蜜罐 Honeypot

PyRdp 蜜罐配置

1. 环境配置

管理服务器：Ubuntu 机器运行PyRdp脚本
IP 192.168.10.16

蜜罐：Windows 7 机器打开RDS服务
IP 192.168.10.50

攻击机：Kali 攻击Ubuntu管理服务器
IP 192.168.10.1

目标：当攻击机尝试输入管理服务器 IP 192.168.10.16 进行远程连接时，请求将会被转发到蜜罐机器Window 7 上，而管理员可以看到攻击机在蜜罐里的操作。

2. PyRdp 安装

PyRdp 允许名为“Docker Image”的虚拟映像执行 PyRdp 脚本。 Docker 镜像允许脚本运行机器将 RDP 端口 3389 映射到虚拟镜像。 然后将端口流量转发到Windows7机器 ，而成为中间人 Man in the middle (MITM) 蜜罐。

首先，在Ubuntu机器上安装PyRdp脚本，使用命令source venv/bin/activate激活linux虚拟环境。

然后使用命令sudo docker run -p 3389:3389 gosecure/pyrdp pyrdp-mitm.py 192.168.10.50在 Ubuntu 机器上运行 MITM 脚本并将流量转发到端口 3389 上的 Windows 7 Honeypot 192.168.10.50。
下图显示 PyRdp 正在侦听，一旦 Ubuntu 机器收到 RDS 请求，它会将流量转发到目标 Windows 7 蜜罐 192.168.10.50。并且拦截流量将存储在本地文件pyrdp_output中。

3. 流量监视

当攻击机kali尝试远程连接Ubuntu机器的IP时 （192.168.10.16），请求流量会被转发到蜜罐Windows 7机器上 （192.169.10.50）。因此，攻击者将会看到Windows的RDS登录界面，因为攻击者正在访问蜜罐windows7的RDS服务。

而当攻击者在Windows7 蜜罐上进行操作时，一切行为都将会转发回Ubuntu机器。

例如：下图为在登陆界面输入密码，Ubuntu机器PyRdp的流量拦截信息。攻击者先输入123456，然后全部删除，然后重新输入 password。

4. 攻击检测

当攻击者利用Bluekeep漏洞攻击蜜罐时，在Ubuntu管理机器上的 PyRdp 脚本发现了Bluekeep攻击。