目录
一、wazuh安装
可以直接安装OVA这个,然后导入到Linux中就可以使用了。
导入完毕后开启,使用远程连接工具进行连接,出现以下画面则成功了。
之后可以看一下图形化界面,使用IP地址进行登录。账号和密码均为admin
登录后所示页面。
到此wazuh安装完毕,就可以使用wazuh了。
二、wazuh使用
使用Ubuntu作为客户端,使用wazuh为服务端进行演练,检测sql注入攻击。
首先进行代理的添加。
代理添加完毕,在服务端可以看见添加后的代理。
然后在ubuntu端点进行配置如下。
(1)安装apache。
apt install apache2
(2)查看apache是否成功,
使用IP地址进行登录查看,出现以下页面则成功。
(3)将以下行添加到 Wazuh 代理/var/ossec/etc/ossec.conf文件中。这允许 Wazuh 代理监控 Apache 服务器的访问日志。
<ossec_config>
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>
</ossec_config>
(4) 添加完毕重启wazuh代理
重启wazuh:
systemctl restart wazuh-agent
配置完成,之后模拟客户端进行注入,服务端进行检测。
使用如下命令,在攻击端进行。
curl -XGET "http://<UBUNTU_IP>/users/?id=SELECT+*+FROM+users";
注意: <UBUNTU_IP>为IP地址。
出现404不用管,因为本来也没有可展示的内容,在服务端只看一下是否有了sql的注入提示。
刷新一下,可见检测到了sql注入。
之后我们进行一下手动触发,观察一下那个规则起作用了。
页面没有反应则表示成功了,本来也没有可显示的。
然后进行查看是否检测到。
可见检测到了。
有了注入就要进行防御,如何防御?
(1)使用代理进行防御
(2)进行系统防御
以上为wazuh的相关介绍,如何使用wazuh进行sql注入的检测。