虚拟机ubuntu18.04安装AoiAWD

AoiAWD-轻量级EDR系统

AoiAWD 是一个由Aodzip(安恒信息 海特实验室研究员、HAC战队成员)维护的一个针对于CTF AWD模式的开源项目。专为比赛设计,便携性好,低权限运行的EDR系统。任何人都可以在 GNU AGPL-3.0 许可下使用该项目和分享该项目的源码。
AoiAWD地址:https://github.com/DasSecurity-HatLab/AoiAWD

应用场景

在常见的AWD比赛中,选手往往拥有一台(或若干台)开放了SSH服务和题目服务的“靶机”作为自己防守的阵地。
在实际比赛中,主办方往往会限制选手的SSH权限到一般用户/仅可管理题目的权限。并且针对一些常见的通用防火墙脚本(通防脚本)进行轮询式check。
AoiAWD是针对以上场景的限制和痛点设计的,组件间基于socket通信以便灵活部署,具有图形可视化界面。所有行为探针均支持在最低系统权限下运行,且默认不会干扰题目业务逻辑的正常运行,可以绕过绝大部分check脚本的行为检查。支持如下维度的行为捕获能力:
Web输入输出数据捕获、输出流量篡改(没错,你可以动态替换掉输出的flag为任意字符串)
PWN类题目输入输出交互流量包捕获、当次运行时内存结构捕获、输出流量篡改 服务器进程UID、PID、父进程、启动参数、运行时间捕获
服务器文件系统新建、删除、修改、权限变化行为捕获。
本系统还内置了生命周期钩子,可以针对某一次行为的产生编写特定的插件去实现流量层面的临时热补丁、增加大屏告警、替换输出字符等操作。系统默认内置了如下插件可供参考:
FlagBuster:
当检测到输出流量中包含了符合正则的flag字符串,产生大屏告警、标记触发规则的数据包、并将flag精准替换为看起来也像flag的随机数。
KingWatcher: KoH类比赛中,当有其他队伍替换掉了赛点文件时,产生大屏告警。 ZombieKiller:
当文件系统上出现了不死马行为,标记可疑文件并产生大屏告警。

系统简介

AoiAWD 分为六个组件,组件间互相配合实现系统的完整功能 MongoDB Server: 日志数据存储数据库 AoiAWD Core:
中心数据处理与插件后端服务器 Frontend: 数据可视化平台前端 Guardian: PWN行为探针 TapeWorm: Web行为探针
RoundWorm: 系统进程与文件系统行为探针

我们在正式进入安装Aoiawd之前要设置虚拟机的静态ip
先设置为桥接模式
在这里插入图片描述
编辑虚拟网络编辑器。
利用ipconfig /all找到网络的连接描述子网掩码默认网关
在这里插入图片描述
更改桥接模式的描述
在这里插入图片描述
打开虚拟机用ifconfig获得虚拟机的网卡名称
在这里插入图片描述
打开Ubuntu网络接口配置

sudo vim /etc/network/interfaces

输入以下内容

auto ens33    #网卡名称
iface ens33 inet static
address 192.168.123.233   #你想设置的静态IP
netmask 255.255.255.0    #子网掩码
gateway 192.168.10.1    #网关

在这里插入图片描述
输入:wq退出
重启网卡

sudo ifconfig ens33 down
sudo ifconfig ens33 up

在这里插入图片描述

在进行操作之前,习惯性先进行更新

sudo apt-get update
sudo apt-get upgrade

然后下载git和利用git来下载AoiAWD

apt install git
git clone https://github.com.cnpmjs.org/DasSecurity-HatLab/AoiAWD.git

在这里插入图片描述
在这里插入图片描述
回到初始页面,安装所需要的mongdb依赖

apt install mongodb-server
apt-get install php7.2-dev php-pear
pecl install mongodb   			

在虚拟机上成功安装
在这里插入图片描述
在这里,提示我们要对php.ini进行更改
etc/php/7.2/cli文件夹中找到php.ini进行修改
在这里插入图片描述

然后把这两个开关改为
在这里插入图片描述

进行保存

下一步安装inotifywait

mkdir inotifywait   
cd inotifywait      
wget http://github.com/downloads/rvoicilas/inotify-tools/inotify-tools-3.14.tar.gz   
tar zxf inotify-tools-3.14.tar.gz   
cd inotify-tools-3.14/./configure && make && make install 

构建Fronted项目

apt install npm      
npm install --registry=https://registry.npm.taobao.org
npm run build --registry=https://registry.npm.taobao.org

(如果遇到npm WARN 可以直接用npm install -f和npm run build -f)
在这里插入图片描述

直接接入淘宝的源,这样npm的时候比较快,但是也需要比较长的时间。
也可以选择另一种方式,直接更改为国内npm的源

npm config set registry https://registry.npm.taobao.org

然后利用

npm cache clean --force

清除缓存
重新进行npm install
安装成功会是这个画面
在这里插入图片描述
在这里插入图片描述

构建成功后将在dist/目录下得到
index.html
static/

构建AoiAWDcore

cd AoiAWD
rm -rf src/public/*						
cp -r ../Frontend/dist/* src/public/
php compile.php  

构建成功得到aoiawd.phar

构建TapeWorm

cd TapeWorm
php compile.php

构建成功后得到tapeworm.phar

构建Guardian

cd Guardian
php compile.php

构建成功后得到guardian.phar

构建RoundWorm

cd RoundWorm
make

构建成功会得到roundworm

启动AoiAWD

sudo mkdir -p /data/db
sudo mongod
./aoiawd.phar

在这里插入图片描述

可以得到一串token值作为本次登陆的临时密钥,默认访问端口为1337,监听端口为5023。这样就可以在本机中进行访问了。
在这里插入图片描述

恢复动态IP

sudo vim /etc/network/interfaces

把刚刚修改的ens33网卡修改为:

auto ens33
iface ens33 inet dhcp

重启网卡之后,再将桥接模式改为NET模式即可恢复。

使用方法

搭建完后把刚刚那些文件夹中的生成的文件例如xxx.phar等发送到提供给我们的靶机上去,然后记得赋予权限,ip是云服务器ip,端口就是默认8023

chmod +x tapeworm.phar
chmod +x roundworm
chmod +x guardian.phar
./tapeworm.phar -d 目录 -s ip:port
./roundworm  -w 目录 -s ip -p port
./guardian.phar -i 目录 -s ip:port

参考文章:https://www.wlhhlc.top/posts/16692/

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值