sh3kore/adpot

# ADPot ADPot 是一个可定制的 Active Directory 蜜罐平台，利用欺骗技术在早期检测攻击者。通过集成了 SIEM 的简单 Web 界面部署诱饵、陷阱和 honeytoken。 ## 功能 - **集中控制平面** — 从一个地方切换多个 AD 加固和欺骗控制策略 - **基于用户的配置** — 部分控制策略按 AD 用户生效 - **Honeytoken 部署** — 生成并部署带有目标电子邮件/地址的 honeytoken - **SIEM 集成** — 一键链接打开您的 SIEM 仪表板 ## UI 标签页 | 标签页 | 作用范围 | 描述 | |---|---|---| | **Attacks** | 全局 + 按用户 | 模拟攻击技术 | | **Decoys** | 全局 + 按用户 | 应用行为限制 | | **CVE** | 全局 | 控制已知漏洞缓解措施的暴露情况 | | **Enumeration** | 全局 | 限制枚举方法 | | **Old Protocols** | 全局 | 激活旧协议的错误配置 | | **Honeytokens** | 全局 | 部署一旦被访问就会触发警报的虚假资源 | | **SIEM** | — | 在新标签页中打开您的 SIEM 仪表板 URL | ## 前置条件 | 需求 | 用途 | |---|---| | Node.js + npm | React 前端 | | Python 3 | Flask API（可在 Linux 或 Windows 上运行） | | Go | Honeytoken 编译 | | Windows 主机（需启用 WinRM） | 用于 AD 配置的目标机器 | ## 安装与设置 ### 第一步 — 将 `ps_attacks.ps1` 复制到 Windows 主机 必须将 `ps_attacks.ps1` 脚本（包含在此仓库中）传输到将通过 WinRM 连接的 Windows/AD 机器上。 ### 第二步 — 配置 `connection.json` 打开 **`server/config/connection.json`** 并填写下面标出的每个字段： ``` { "scheme": "http", "host": "YOUR_WINRM_HOST", "port": 5985, "path": "wsman", "ps_attacks_path": "ps_attacks.ps1_PATH", "username": "YOUR_USERNAME", "password": "YOUR_PASSWORD", "transport": "ntlm", "siem_url": "http://YOUR_SIEM_HOST:8000" } ``` ### 第三步 — 启动 Flask API (后端) ``` cd server python3 -m venv .venv source .venv/bin/activate # Windows: .venv\Scripts\activate pip install -r requirements.txt python3 app.py ``` API 将在 `http://localhost:5000` 上可用。 ### 第四步 — 启动 React UI (前端) 在从仓库根目录打开的另一个终端中： ``` npm install npm start ``` 仪表板将在 `http://localhost:3000` 处打开，并调用端口 `5000` 上的 API。 ### 第五步 — 构建 honeytoken（可选） Honeytoken 功能需要 Go。在使用 Honeytokens 标签页之前编译 `canary.go`： ``` cd server go build canary.go ``` ## 在线演示 https://stellar-lolly-81fb77.netlify.app/

标签：Active Directory, AD域安全, AI合规, BOF, Flask, GitHub Advanced Security, GNU通用公共许可证, Go, Honeytoken, MITM代理, Node.js, PFX证书, Plaso, Python, React, Ruby工具, SIEM集成, Syscalls, Web界面, WinRM, 安全仪表盘, 安全加固, 底层分析, 插件系统, 攻击检测, 无后门, 无线安全, 日志审计, 枚举限制, 欺骗防御, 漏洞缓解, 网络安全, 自定义脚本, 蜜罐, 行为限制, 证书利用, 诱饵部署, 逆向工具, 防御可视化, 隐私保护