suricata+bwapp靶场sqlmap实测
为了演示suricata的使用效果,搭建了一个子网,里面分别有suricata所在的服务器和一个靶场。
suricata服务器IP:172.16.6.135
bwapp靶场IP:172.16.6.133
攻击机:172.16.6.1
0x01 suricata的配置
关键的配置点如下:
配置文件所在位置/etc/suricata/suricata.yaml
-
需要守护的网段或者服务器
这里就使用suricata守护靶场IP
HOME_NET: "[172.16.6.133]"
-
加载的规则
default-rule-path: /etc/suricata/rules rule-files: - suricata.rules
这是一个集合的规则,下载地址上传到百度云,提取码
8wi6
-
日志输出器
此处有两个输出器,第一个是
fast.log
,第二个是alert.json
,其余的输出器可以关闭或者在配置文件删除。outputs: - fast: enabled: yes filename: fast.log append: yes filetype: regular - eve-log: enabled: yes filetype: regular filename: alert.json types: - alert
output
字段下的其他输出器可以删除或者enabled: no
测试配置文件是否有问题
sudo suricata -T -c /etc/suricata/suricata.yaml
0x02 启动suricata并攻击靶场
1. 启动suricata
sudo suricata -c /etc/suricata/suricata.yaml -i
-c
:suricata配置文件地址
-i
:抓取数据包的网卡,使用ip addr
或者ifconfig
命令查看
测试没有报错的话,则可以启动了
2. 观察
log文件在/var/log/suricata/
下,启动了suricata后会有两个文件
-
fast.log
对检测到的入侵信息的简要说明
使用tail命令,如果有新的日志,会打印出来,持续打印
tail -f -n1 /var/log/suricata/fast.log
-
alert.json
对检测到的入侵行为的详细说明
同上,使用tail命令持续打印日志,为了方便观察json日志,建议安装jq
sudo apt-get install jq
tail -f -n1 /var/log/suricata/alert.json | jq
3. 使用sqlmap进行攻击
登录进bwapp,选取Sql injection,则有网站URL为
url
= http://172.16.6.133/bWAPP/sqli_1.php?title=asdf&action=search
cookie
= acopendivids=swingset,jotto,phpbb2,redmine; acgroupswithpersist=nada; PHPSESSID=vcp434ojopgt6r7iunmg1tv9l6; security_level=0
以上的操作默认读者会搭建bwapp并且有一定的web安全基础了哦。如果不会,也不会到suricata搭建,对吧,不懂的可以在评论区讨论或者百度谷歌
在攻击机172.16.6.1
使用sqlmap攻击靶场
sqlmap -u "http://172.16.6.133/bWAPP/sqli_1.php?title=asdf&action=search" --cookie "acopendivids=swingset,jotto,phpbb2,redmine; acgroupswithpersist=nada; PHPSESSID=vcp434ojopgt6r7iunmg1tv9l6; security_level=0"
可以在fast.log的观察窗口中的tail命令中看到