suricata+bwapp靶場sqlmap實測
爲了演示suricata的使用效果,搭建了一個子網,裏面分別有suricata所在的服務器和一個靶場。
suricata服務器IP:172.16.6.135
bwapp靶場IP:172.16.6.133
攻擊機:172.16.6.1
0x01 suricata的配置
關鍵的配置點如下:
配置文件所在位置/etc/suricata/suricata.yaml
-
需要守護的網段或者服務器
這裏就使用suricata守護靶場IP
HOME_NET: "[172.16.6.133]"
-
加載的規則
default-rule-path: /etc/suricata/rules rule-files: - suricata.rules
這是一個集合的規則,下載地址上傳到百度雲,提取碼
8wi6
-
日誌輸出器
此處有兩個輸出器,第一個是
fast.log
,第二個是alert.json
,其餘的輸出器可以關閉或者在配置文件刪除。outputs: - fast: enabled: yes filename: fast.log append: yes filetype: regular - eve-log: enabled: yes filetype: regular filename: alert.json types: - alert
output
字段下的其他輸出器可以刪除或者enabled: no
測試配置文件是否有問題
sudo suricata -T -c /etc/suricata/suricata.yaml
0x02 啓動suricata並攻擊靶場
1. 啓動suricata
sudo suricata -c /etc/suricata/suricata.yaml -i
-c
:suricata配置文件地址
-i
:抓取數據包的網卡,使用ip addr
或者ifconfig
命令查看
測試沒有報錯的話,則可以啓動了
2. 觀察
log文件在/var/log/suricata/
下,啓動了suricata後會有兩個文件
-
fast.log
對檢測到的入侵信息的簡要說明
使用tail命令,如果有新的日誌,會打印出來,持續打印
tail -f -n1 /var/log/suricata/fast.log
-
alert.json
對檢測到的入侵行爲的詳細說明
同上,使用tail命令持續打印日誌,爲了方便觀察json日誌,建議安裝jq
sudo apt-get install jq
tail -f -n1 /var/log/suricata/alert.json | jq
3. 使用sqlmap進行攻擊
登錄進bwapp,選取Sql injection,則有網站URL爲
url
= http://172.16.6.133/bWAPP/sqli_1.php?title=asdf&action=search
cookie
= acopendivids=swingset,jotto,phpbb2,redmine; acgroupswithpersist=nada; PHPSESSID=vcp434ojopgt6r7iunmg1tv9l6; security_level=0
以上的操作默認讀者會搭建bwapp並且有一定的web安全基礎了哦。如果不會,也不會到suricata搭建,對吧,不懂的可以在評論區討論或者百度谷歌
在攻擊機172.16.6.1
使用sqlmap攻擊靶場
sqlmap -u "http://172.16.6.133/bWAPP/sqli_1.php?title=asdf&action=search" --cookie "acopendivids=swingset,jotto,phpbb2,redmine; acgroupswithpersist=nada; PHPSESSID=vcp434ojopgt6r7iunmg1tv9l6; security_level=0"
可以在fast.log的觀察窗口中的tail命令中看到