先安装wazuh的agent上篇博客有提到。Wazuh安装及使用_无所不知的神奇海螺的博客-CSDN博客
与wazuh联动,所以查看wazuh官方文档Network IDS integration - Proof of Concept guide · Wazuh documentation
配置要求
跟着配置一步步走就行
到这一步,需要将本台ubuntu的ip写上
ip addr查看正在使用的是哪块网卡,例如ens33,写在interface后面
全都完成好后重启wazuh-agent和suricata
1.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)
2.php代理第一次被使用时最先连接了哪个IP地址
先过滤mysql字段
可以看到进行了多次的登录,有可能是在进行暴力破解ip为192.168.2.20的机器
最后一条数据包里的password字段即为mysql密码的哈希值
过滤源ip或目标ip为 192.168.1.8或202.1.1.2并且协议为http的数据包。
在第3387705个包上发现tunnel.php
过滤post请求,看到php代理第一次连接4.2.2.2
答案
1.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)
Username: admin
Password: 1a3068c3e29e03e3bcfdba6f8669ad23349dc6c4
2.php代理第一次被使用时最先连接了哪个IP地址
4.2.2.2
1.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候
2.黑客在内网主机中添加的用户名和密码是多少
3.黑客从内网服务器中下载下来的文件名
过滤ls和dir命令
(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "dir" || http contains "ls")
ls没有执行成功,dir执行成功了,查看dir数据包
可以确定是192.168.2.20这个ip在攻击
看到黑客留了后门
在第378142个数据包中发现了net user命令
在378885中又发现了,但是已经被执行成功
18:49:27.767754时,不存在kaka用户
18:50:42.908737时,kaka用户已成为管理员
所以大概作案时间在这个时间段内
在第一个post请求包里看到Y2QvZCJDOlxwaHBTdHVkeVxXV1dcYjJldm9sdXRpb25caW5zdGFsbFx0ZXN0XCImbmV0IHVzZXIg
a2FrYSBrYWthIC9hZGQmZWNobyBbU10mY2QmZWNobyBbRV0=
base64解码后为cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&net user kaka kaka /add&echo [S]&cd&echo [E]
执行的命令是net user kaka kaka /add
所以用户名和密码均为kaka
对Y2QvZCJDOlxwaHBTdHVkeVxXV1dcYjJldm9sdXRpb25caW5zdGFsbFx0ZXN0XCImcHJvY2R1bXAu\nZXhlIC1hY2NlcHRldWxhIC1tYSBsc3Bhc3NzLmRtcCZlY2hvIFtTXSZjZCZlY2hvIFtFXQ==
发现使用了procdump.exe
同时对QzpccGhwU3R1ZHlcV1dXXGIyZXZvbHV0aW9uXGluc3RhbGxcdGVzdFxsc2Fzcy5leGVfMTgwMjA4\nXzE4NTI0Ny5kbXA=
进行解码,发现了lsass.exe_180208_185247.dmp文件
答案
1.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候
18:37:38.482420
2.黑客在内网主机中添加的用户名和密码是多少
用户名和密码均为kaka
3.黑客从内网服务器中下载下来的文件名
lsass.exe_180208_185247.dmp