1.简介
1.1 功能简介
Wazuh 检测来自包含select union其他常见SQL注入模式的Web服务器日志的SQL注入攻击,SQL 注入是一种攻击,威胁参与者将恶意代码插入传输到数据库服务器的字符串中进行解析和执行。成功的SQL注入攻击允许未经授权访问数据库中包含的机密信息。
1.2 测试环境
|
端点 |
描述 |
|
Ubuntu 22.04 |
运行 Apache 2.4.54 Web 服务器的受害者 |
|
Kali |
发起 SQL 注入攻击的攻击者 |
2.环境配置
2.1Ubuntu配置
安装Apache并配置Wazuh代理以监控Apache日志
1)安装Apache WEB服务
sudo apt update
sudo apt install apache22)防火墙配置
添加防火墙策略允许Apache服务
sudo ufw app list
sudo ufw allow 'Apache'
sudo ufw status
3)检查Apache运行状态
sudo systemctl status apache2
4)测试访问WEB页面
curl http://192.168.208.151
5)配置Wazuh代理监控Apache服务器日志
<ossec_config>
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>
</ossec_config>
6)重启wazuh代理服务
sudo systemctl restart wazuh-agent2.2攻击测试
1)发送带有payload攻击包
curl -XGET "http://192.168.208.151/users/?id=SELECT+*+FROM+users";
2.3查看告警信息
1)查看告警内容
注入失败会可以通过该规则查询:rule.id:31103,注入成功可以通过rule.id:31106
2)配置主动响应规则(Wazuh服务器)
<active-response>
<command>firewall-drop</command>
<location>local</location>
<rules_id>31103,31106</rules_id>
<timeout>180</timeout>
</active-response>重启Wazuh服务
sudo systemctl restart wazuh-manager3)测试自动拦截IP
iptables -nvL
原文始发于微信公众号(安全孺子牛):Wazuh检测SQL注入攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论