FaPro是一个服务端协议模拟工具,可以轻松启停多个网络服务。
目标是支持尽可能多的协议,每个协议尽可能提供深度的交互支持。
-
支持的运行模式
- 本地模式
- 虚拟网络
-
支持的网络协议
- DNS
- DCE/RPC
- EIP
- Elasticsearch
- FTP
- HTTP
- IEC 104
- Memcached
- Modbus
- MQTT
- MySQL
- RDP
- Redis
- S7
- SMB
- SMTP
- SNMP
- SSH
- Telnet
- VNC
- IMAP
- POP3
- NTP
- RTSP
- PORTMAP
- PostgreSQL
- SIP
- SSDP
- BACnet
- Oracle TNS
- AMQP
- NFS
- COAP
- WEMO
- DHT
- Ethereum
- SOCKS5
- EOS.IO
- ONVIF
- NetBIOS
- WebLogic
- ICAP
- MSSQL
- LDAP
- IKE
- Fox
- DNP3
- OMRON
- GE-SRTP
- MongoDB
- Java-RMI
- PCWorx
- Cassandra
- RedLion-Crimson3
- PPTP
- L2TP
- Melsecq-discover
- Winbox
-
使用TcpForward进行端口转发
-
支持tcp syn请求记录
-
支持ping请求记录
-
支持udp数据包记录
-
支持SSL ja3指纹
-
支持ip限速控制
支持 credssp ntlmv2 nla 认证。
支持用户登陆。 支持部分终端命令,比如id、uid、whoami等。
账户格式: username:password:home:uid
支持用户登陆并进行交互。
支持sql语句查询交互。
支持用户登陆并进行交互。
当前只支持nmap指纹欺骗
支持登录与交互
支持登录与交互
支持基本信息
支持登录与交互
当前只支持nmap指纹欺骗
支持网站克隆。 需要安装chrome浏览器和chrome driver才能使用。
可以使用genConfig子命令生成所有协议和参数的配置文件。
使用172.16.0.0/16子网生成配置文件:
fapro genConfig -n 172.16.0.0/16 > fapro.json
或者使用本机地址,不创建虚拟网络:
fapro genConfig > fapro.json
只创建ssh协议的配置:
./fapro genConfig -p ssh
使用Verbose模式运行FaPro, 并在8080端口启动web服务:
fapro run -v -l :8080
对于windows用户,请先安装winpcap或npcap。
配置文件的简单介绍:
{
"version": "0.65",
"network": "127.0.0.1/32",
"network_build": "localhost",
"storage": null,
"geo_db": "/tmp/geoip_city.mmdb",
"hostname": "fapro1",
"use_logq": true,
"cert_name": "unknown",
"syn_dev": "any",
"udp_dev": "any",
"icmp_dev": "any",
"limiter": {
"period": 10,
"count": 3,
"block_period": 20
},
"exclusions": [],
"hosts": [
{
"ip": "127.0.0.1",
"handlers": [
{
"handler": "dcerpc",
"port": 135,
"params": {
"accounts": [
"administrator:123456",
],
"domain_name": "DESKTOP-Q1Test"
}
}
]
}
]
}
- version: 配置文件版本号
- network: 虚拟网络使用的子网,或者本机模式下绑定的ip地址
- network_build: 网络模式(支持: localhost, all, userdef)
- localhost: 本地模式,所有服务在本机监听
- all: 创建虚拟网络中的所有主机(子网中的所有主机都可以ping通)
- userdef: 只创建hosts配置中指定的主机
- storage: 指定日志收集的存储, 支持sqlite, mysql, elasticsearch. 示例:
- sqlite3:logs.db
- mysql://user:password@tcp(127.0.0.1:3306)/logs
- es://http://username:[email protected]:9200 (目前只支持Elasticsearch v7.x)
- geo_db: MaxMind geoip2数据库的文件路径, 用于生成ip地理位置信息. 如果使用了Elasticsearch日志存储,则不需要此字段,将会使用Elasticsearch自带的geoip生成地理位置。
- hostname: 指定日志中的host字段。
- use_logq: 使用基于本地磁盘的消息队列保存日志,然后发送到远程mysql或Elasticsearch,防止日志丢失。
- cert_name: 指定生成证书的公共名。
- syn_dev: 指定捕获tcp syn包使用的网卡,如果为空则不记录tcp syn包。在windows上,网卡名称类似于 "\Device\NPF_{xxxx-xxxx}"。
- udp_dev: 与syn_dev相同,记录udp数据包。
- icmp_dev: 与syn_dev相同,记录icmp ping数据包。
- limiter: ip限速配置,在指定时间段内(period)访问超过设定的次数(count)则封禁指定的时间(block_period)。
- period: ip限制访问的时间段(单位为分钟)
- count: ip在时间段内访问的最大次数
- block_period: 超过ip访问限制后的封禁时间(单位为分钟)
- exclusions: 从日志记录中排除指定的remote ip。
- hosts: 主机列表,每一项为一个主机配置
- handlers: 服务列表,每一项为一个服务配置
- handler: 服务名(协议名)
- params: 设置服务支持的参数
使用子网172.16.0.0/24创建一个虚拟网络,包含2个主机:
172.16.0.3 运行dns、ssh服务
172.16.0.5 运行rpc、rdp服务
协议访问日志保存到elasticsearch,排除远程ip为127.0.0.1和8.8.8.8的日志。
{
"version": "0.65",
"network": "172.16.0.0/24",
"network_build": "userdef",
"storage": "es://http://127.0.0.1:9200",
"use_logq": true,
"cert_name": "unknown",
"syn_dev": "any",
"udp_dev": "any",
"icmp_dev": "any",
"exclusions": ["127.0.0.1", "8.8.8.8"],
"geo_db": "",
"hosts": [
{
"ip": "172.16.0.3",
"handlers": [
{
"handler": "dns",
"port": 53,
"params": {
"accounts": [
"admin:123456"
],
"appname": "domain"
}
},
{
"handler": "ssh",
"port": 22,
"params": {
"accounts": [
"root:5555555:/root:0"
],
"prompt": "$ ",
"server_version": "SSH-2.0-OpenSSH_7.4"
}
}
]
},
{
"ip": "172.16.0.5",
"handlers": [
{
"handler": "dcerpc",
"port": 135,
"params": {
"accounts": [
"administrator:123456"
],
"domain_name": "DESKTOP-Q1Test"
}
},
{
"handler": "rdp",
"port": 3389,
"params": {
"accounts": [
"administrator:123456"
],
"auth": false,
"domain_name": "DESKTOP-Q1Test",
"image": "rdp.jpg",
"sec_layer": "auto"
}
}
]
}
]
}
使用脚本中的ipclone.py脚本,可以实现从fofa中克隆ip服务配置,快速生成真实设备的服务配置。
我们收集了一些常见问题. 报告issue前,请先看看常见问题集中是否有你要找的答案。
- 欢迎提issue。