wazuh环境配置及漏洞复现

于 2023-08-23 17:21:09 发布
阅读量95 收藏
点赞数
文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56724164/article/details/132395130
版权

目录

wazuh环境配置

安装wazuh

官方文档 【https://documentation.wazuh.com/current/index.html】

1、选择基于ELK安装

在这里插入图片描述

在这里插入图片描述

安装依赖包

在这里插入图片描述

在这里插入图片描述

安装它的key、加入源,然后更新

在这里插入图片描述

安装对应的版本

在这里插入图片描述

2 、也可以选择下载虚拟机(OVA)安装

下载文档中所提供的文件
在这里插入图片描述

虚拟机的配置要求:
在这里插入图片描述

点击文件,选择打开,选择刚才下载的.ova文件

在这里插入图片描述

然后导入.ova文件

在这里插入图片描述

在这里插入图片描述

将桥接模式改为NAT模式

在这里插入图片描述

开启之后,切换用户

在这里插入图片描述

重新启动网络服务,查看IP

在这里插入图片描述

用工具(这里我用的是MobaXterm)进行远程连接

在这里插入图片描述

连接成功

在这里插入图片描述

至此安装完成

wazuh初体验

去浏览器访问,输入默认的用户名和密码(都是admin)进行登录

在这里插入图片描述

在这里插入图片描述

查看告警信息

在这里插入图片描述

在这里插入图片描述

模拟登录失败,看看有什么反应

实时查看日志

tail -f alerts.log

在这里插入图片描述

ssh到这台服务器上,输入错误密码

ssh wazuh-user@192.168.112.133

在这里插入图片描述

可以看到触发了两条规则:5503(登录失败) 和 5760(认证失败)

在这里插入图片描述

在wazuh中也能看到

在这里插入图片描述

当我们连接登录wazuh-user,密码输错很多次后报了一条5763

在这里插入图片描述

在这里插入图片描述

5763规则是如果5760触发,120秒内触发8次,就触发本条规则,描述就是怀疑暴力破解

在这里插入图片描述

在这里插入图片描述

在浏览器中登录wazuh后,同样能看到

在这里插入图片描述

案例复现

题目:

在这里插入图片描述

首先,去目录/var/www/html下创建index.php并写入案例

案例源码:

<?php
function fun($var): bool{
    $blacklist = ["\$_", "eval","copy" ,"assert","usort","include", "require", "$", "^", "~", "-", "%", "*","file","fopen","fwriter","fput","copy","curl","fread","fget","function_exists","dl","putenv","system","exec","shell_exec","passthru","proc_open","proc_close", "proc_get_status","checkdnsrr","getmxrr","getservbyname","getservbyport", "syslog","popen","show_source","highlight_file","`","chmod"];
 
    foreach($blacklist as $blackword){
        if(strstr($var, $blackword)) return True;
    }
 
    
    return False;
}
error_reporting(0);
//设置上传目录
define("UPLOAD_PATH", "./uploads");
$msg = "Upload Success!";
if (isset($_POST['submit'])) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_name = $_FILES['upload_file']['name'];
$ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!preg_match("/php/i", strtolower($ext))){
die("只要好看的php");
}
 
$content = file_get_contents($temp_file);
if(fun($content)){
    die("诶,被我发现了吧");
}
$new_file_name = md5($file_name).".".$ext;
        $img_path = UPLOAD_PATH . '/' . $new_file_name;
 
 
        if (move_uploaded_file($temp_file, $img_path)){
            $is_upload = true;
        } else {
            $msg = 'Upload Failed!';
            die();
        }
        echo '<div style="color:#F00">'.$msg." Look here~ ".$img_path."</div>";
}

在这里插入图片描述

在这里插入图片描述

再上传前端:

在这里插入图片描述

在这里插入图片描述

然后执行:

在这里插入图片描述

在这里插入图片描述

航沐忆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Wazuh部署记录
墨痕诉清风的博客
04-29 195
Wazuh是一个免费的开源安全平台,统一了XDR和SIEM功能。它可以保护内部部署、虚拟化、容器化和基于云的环境中的工作负载。Wazuh帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。443:仪表盘界面访问端口1515:探针连接服务器端口1514:探针回传信息端口以上3个端口必须打开防火墙。
ELK+Wazuh搭建笔记
chensheng9055的博客
04-02 2041
本文借鉴https://www.cnblogs.com/backlion/p/10394369.html,在此谢谢大佬指明方向!! 本人又总结了wazuh界面上opencat,Vulnerabilities的后台配置情况,以及agent版本升级情况, 系统为:Centos7 建议搭...
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 9977
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
wazuh部署
undefineing的博客
08-19 427
var/ossec/logs/alerts/alerts.json:json格式的预警信息,用于分析展示,这不就是给elk用于展示的嘛。active-response 是主动响应,里面设定主要拦截、限制策略,检测到危险就禁止。/var/ossec/logs/alerts/alerts.log:适用于直接查看。如/var/ossec/ruleset/rules下的规则就有匹配。网站访问wazuh初始账号密码为admin:admin。主要配置文件在/var/ossec目录下。接着用xshell连接。
Wazuh和clamav的联动 -操作记录.docx
09-14
4. 修改配置文件:`vi /var/ossec/etc/ossec.conf`,主要是配置Wazuh管理器的IP地址。 5. 卸载并重新安装Wazuh代理,以应用配置更改:`yum remove wazuh-agent`,然后重新执行安装步骤。 6. 重启代理服务:`sudo ...
wazuh-ruleset:Wazuh-规则集
02-03
`wazuh-ruleset-master`可能是Wazuh规则集的一个版本仓库,包含了规则文件的源代码或配置。用户需要按照官方文档的指引,将这些规则导入到Wazuh服务器中,然后配置代理以应用这些规则。 总结起来,Wazuh规则集是...
wazuh-elastic7-template-alerts.json
06-29
wazuh-elastic7-template-alerts.json,wazuh的ES模块导入
wazuh-documentation:Wazuh-项目文档
02-03
在线文件 为这个项目做贡献如果您想对本文档做出贡献,请阅读我们的文件,以了解有关如何部署开发环境和提交请求的更多信息。 您也可以通过发送电子邮件至wazuh+subscribe@googlegroups.com加入我们的,以提出问题并...
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
在本文中,我们将详细介绍如何在 CentOS8 上安装和配置 WAZUH-OSSEC。 ### 1. 安装准备 在开始安装之前,确保你的 CentOS8 系统是最新的,通过运行以下命令: ```bash sudo yum update -y ``` 同时,确保系统上...
wazuh-api:Wazuh-RESTful API
02-04
使用Wazuh API,现在最简单的方法就是执行日常操作,例如添加代理,检查配置或查找syscheck文件。 Wazuh API功能: 代理商管理经理概述根检查控制和搜索安全配置评估(SCA) Syscheck控制和搜索规则集信息统计信息...
wazuhWazuh-开源安全平台
02-04
它能够在本地,虚拟化,容器化和基于云的环境中保护工作负载。 Wazuh解决方案由部署到受监视系统的端点安全代理和管理服务器组成,该管理服务器收集和分析代理收集的数据。 此外,Wazuh已与Elastic Stack完全集成,...
wazuh-splunk:Wazuh-Splunk应用
02-03
Wazuh的Splunk应用 用于Splunk的Wazuh应用程序提供了可视化Wazuh警报和API数据的选项。 Wazuh通过在操作系统和应用程序级别监视主机,可以帮助您更深入地了解基础结构的安全性。文献资料分行stable分支对应于最新的...
wazuh-packages:Wazuh-软件包创建工具
02-04
Wazuh软件包 Wazuh是基于开源主机的入侵检测系统,它执行日志分析,文件完整性监视,策略监视,rootkit检测,实时警报,活动响应,漏洞检测器等。 在此存储库中,您可以找到必要的工具来构建用于基于Debian的OS的...
wazuh-cloudformation:Wazuh-Amazon AWS Cloudformation
05-20
该存储库包含CloudFormation模板和配置脚本,以在Amazon Web Services(AWS)中部署Wazuh生产就绪环境和Wazuh演示环境: 生产就绪环境: 一个VPC,具有两个子网,一个用于Wazuh服务器,另一个用于Elastic Stack ...
初识wazuh
小白
08-20 287
Wazuh是一个开源的、用于安全事件检测、日志管理和合规性的安全监控解决方案。它提供了实时分析、告警和完整的日志收集,帮助组织检测和应对网络攻击、恶意行为和安全事件。Wazuh可以集成到现有的安全设备和日志源,提供强大的安全分析和可视化工具,有助于组织加强网络安全防御和合规性管理。
nodejs(log4js)服务中应用splunk进行Log存储、搜索、分析、监控、警告
weixin_34358092的博客
01-09 106
标题党,等博主这个月的知识库上传之后再来更新博文 转载于:https://www.cnblogs.com/yourstars/p/8251922.html
ElastAlert规则
weixin_33936401的博客
04-25 1614
elastalert是一款基于elasticsearch的开源告警产品(官方说明文档)。相信许多人都会使用ELK做日志收集系统,但是产生一个基于日志的“优秀”的安全告警确是一个难题。告警规则难编写,告警规则难管理等。本文是作者探索的安全告警的一些思路,希望能帮助到有需要的人。 本人对ELK告警处理思路: elastalert 通过post的告警模式,post一个告警数据包到服务端,通过服务端...
wazuh中针对文件包含漏洞是如何制定规则检测的
最新发布
09-24
Wazuh针对文件包含漏洞的检测是通过制定规则来实现的。规则是一系列条件和操作的组合,当满足条件时,就会执行操作。在Wazuh中,规则由以下几部分组成: 1.条件:规则中的条件是指需要满足的安全事件或日志条目,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值