suricata+bwapp靶场sqlmap实测

suricata+bwapp靶场sqlmap实测

为了演示suricata的使用效果，搭建了一个子网，里面分别有suricata所在的服务器和一个靶场。

suricata服务器IP：172.16.6.135

bwapp靶场IP：172.16.6.133

攻击机：172.16.6.1

0x01 suricata的配置

关键的配置点如下：

配置文件所在位置/etc/suricata/suricata.yaml

1. 需要守护的网段或者服务器

   这里就使用suricata守护靶场IP

   HOME_NET: "[172.16.6.133]"
   

2. 加载的规则

   default-rule-path: /etc/suricata/rules                                                                                                                                        
   rule-files:
     - suricata.rules
   

   这是一个集合的规则，下载地址上传到百度云，提取码8wi6

3. 日志输出器

   此处有两个输出器，第一个是fast.log，第二个是alert.json，其余的输出器可以关闭或者在配置文件删除。

   outputs:
     - fast:
         enabled: yes
         filename: fast.log
         append: yes
         filetype: regular 
         
     - eve-log:
         enabled: yes
         filetype: regular
         filename: alert.json
         types:
           - alert
   

   output字段下的其他输出器可以删除或者enabled: no

测试配置文件是否有问题

sudo suricata -T -c /etc/suricata/suricata.yaml

0x02 启动suricata并攻击靶场

1. 启动suricata

sudo suricata -c /etc/suricata/suricata.yaml -i 

-c：suricata配置文件地址

-i：抓取数据包的网卡，使用ip addr或者ifconfig命令查看

测试没有报错的话，则可以启动了

2. 观察

log文件在/var/log/suricata/下，启动了suricata后会有两个文件

1. fast.log

   对检测到的入侵信息的简要说明

   使用tail命令，如果有新的日志，会打印出来，持续打印

   tail -f -n1 /var/log/suricata/fast.log
   

2. alert.json

   对检测到的入侵行为的详细说明

   同上，使用tail命令持续打印日志，为了方便观察json日志，建议安装jq

   sudo apt-get install jq
   

   tail -f -n1 /var/log/suricata/alert.json | jq
   

3. 使用sqlmap进行攻击

登录进bwapp，选取Sql injection，则有网站URL为

url = http://172.16.6.133/bWAPP/sqli_1.php?title=asdf&action=search

cookie = acopendivids=swingset,jotto,phpbb2,redmine; acgroupswithpersist=nada; PHPSESSID=vcp434ojopgt6r7iunmg1tv9l6; security_level=0

以上的操作默认读者会搭建bwapp并且有一定的web安全基础了哦。如果不会，也不会到suricata搭建，对吧，不懂的可以在评论区讨论或者百度谷歌

在攻击机172.16.6.1使用sqlmap攻击靶场

sqlmap -u "http://172.16.6.133/bWAPP/sqli_1.php?title=asdf&action=search" --cookie "acopendivids=swingset,jotto,phpbb2,redmine; acgroupswithpersist=nada; PHPSESSID=vcp434ojopgt6r7iunmg1tv9l6; security_level=0"

可以在fast.log的观察窗口中的tail命令中看到