yonathanpy/NightForge

NightForge

SSH & FTP 蜜罐 – 安全研究与威胁情报

# NightForge NightForge 是一个用 Rust 编写的高级 SSH/FTP 蜜罐。它专为安全研究、威胁情报和培训目的而设计。NightForge 模拟交互式会话，捕获身份验证尝试，记录命令，并提供伪文件系统环境以实现逼真的攻击者交互。 ## 概述 NightForge 通过在指定端口上接受类 SSH/FTP 连接来运行。每个会话独立处理，并支持多个并发连接。 该蜜罐捕获： * 用户名和密码尝试 * 客户端执行的命令 * 伪文件系统交互（`LIST`、`GET`、`PUT`） * 时间戳和会话元数据 所有交互均使用线程安全的日志系统记录，并可扩展至持久存储或外部监控管道。 ## 架构 ``` NightForge/ ├── src/ │ ├── main.rs # Entry point │ ├── logger.rs # Thread-safe session logger │ ├── parser.rs # Command parsing engine │ ├── session.rs # Session state management │ ├── fs.rs # Pseudo-filesystem simulation ``` ## 模块分解 * **logger** 处理所有会话和命令日志。 * 线程安全的事件记录 * 结构化日志输出用于分析 * **parser** 解析传入的客户端命令。 * 命令分类（`USER`、`PASS`、`LIST`、`GET`、`PUT`） * 输入规范化和验证 * **session** 维护连接生命周期和状态。 * 身份验证跟踪 * 每个会话的命令历史 * 并发会话之间的隔离 * **fs** 模拟虚拟文件系统。 * 虚拟文件结构 * 受控的读/写行为 * 逼真的攻击者交互响应 ## 功能特性 * 多线程会话处理 * 凭证捕获（用于研究和培训） * 命令解析和结构化日志记录 * 伪文件系统仿真 * 实时控制台监控 * 可扩展架构，支持额外协议和行为 ## 执行流程 ``` Client (Attacker) │ TCP Listener (0.0.0.0:2121) │ New Thread → Session Created │ Command Loop: ├─ Parse command ├─ Handle authentication └─ Handle filesystem interaction │ Logger → Store events │ Client receives response ``` ## 安装与运行 1. 安装 Rust（版本 1.72 或更高） 2. 克隆仓库： git clone https://github.com/yonathanpy/NightForge.git cd NightForge 3. 构建并运行： cargo run ## 默认配置 NightForge 监听： ``` 0.0.0.0:2121 ``` ## 交互示例 ``` $ ftp 127.0.0.1 2121 Connected USER guest 331 Username OK PASS password 230 Login successful LIST file1.txt file2.log GET file1.txt Top Secret Data PUT newfile.txt HelloWorld 250 File stored ``` 所有命令和会话活动均由 logger 模块记录。 ## 可扩展性 NightForge 可以通过以下方式扩展： * SIEM 或警报系统集成 * 持久存储（SQLite、PostgreSQL 等） * 高级文件系统模拟 * 额外命令支持 * 多协议扩展（SSH、FTP、SFTP、Telnet） ## 部署注意事项 * 在沙箱或隔离环境中运行 * 监控负载下的内存和线程使用情况 * 仅公开故意模拟的服务 * 严格用于研究、培训或受控测试 ## 免责声明 NightForge 严格用于受控和授权用途。在授权环境之外部署可能违反当地法律或法规。

标签：DAST, ETW劫持, FTP蜜罐, HTTP工具, PE 加载器, PFX证书, Ransomware, Rust, SSH蜜罐, 会话管理, 伪文件系统, 内核驱动, 凭证收集, 可视化界面, 命令审计, 威胁情报, 开发者工具, 恶意软件分析, 攻击检测, 日志记录, 暴力破解防护, 服务端仿真, 端口监控, 网络信息收集, 网络协议, 网络安全, 网络流量审计, 蜜罐, 证书利用, 进程注入, 通知系统, 隐私保护