Wazuh - HackMD

# Wazuh - https://viblo.asia/p/wazuh-ma-nguon-mo-giup-giam-sat-ung-pho-su-co-MG24BAQzVz3 - https://tryhackme.com/room/wazuhct ## Tải wazuh và cài đặt ![image](https://hackmd.io/_uploads/HypcqqBXgl.png) ![image](https://hackmd.io/_uploads/Bywyp9Hmeg.png) ![image](https://hackmd.io/_uploads/B1ZFhcBmee.png) ![image](https://hackmd.io/_uploads/BJqz6qr7xe.png) ![image](https://hackmd.io/_uploads/BkC865HQxx.png) ![image](https://hackmd.io/_uploads/HyE269BXgg.png) ![image](https://hackmd.io/_uploads/SyoDQiB7gg.png) ![image](https://hackmd.io/_uploads/BkVFQiHQle.png) ![image](https://hackmd.io/_uploads/HJCVX8LQle.png) - thiết lập cài đặt trên agent ![image](https://hackmd.io/_uploads/Hy7dX8IQxl.png) ![image](https://hackmd.io/_uploads/B1txBL8mex.png) ![image](https://hackmd.io/_uploads/rJ7brUIXxg.png) ![image](https://hackmd.io/_uploads/BJDPLLLQxl.png) ``` sudo systemctl daemon-reload sudo systemctl enable wazuh-agent sudo systemctl start wazuh-agent ``` ![image](https://hackmd.io/_uploads/BymoD8Lmge.png) ![image](https://hackmd.io/_uploads/H1RhvI8Qlx.png) - cấu hình trên agent sẽ được lưu vào trong ```sudo cat /var/ossec/etc/ossec.conf``` ![image](https://hackmd.io/_uploads/HJT7AO8mxx.png) ![image](https://hackmd.io/_uploads/BkEBouL7ge.png) ![image](https://hackmd.io/_uploads/SJ4Rs_U7eg.png) ![image](https://hackmd.io/_uploads/r1DIjuIXlx.png) ![image](https://hackmd.io/_uploads/S1iAyFImeg.png) ![image](https://hackmd.io/_uploads/SyzAkY87le.png) ![image](https://hackmd.io/_uploads/rJm4gFLXlg.png) ![image](https://hackmd.io/_uploads/SkUDuoLmle.png) - sau khi quét ![image](https://hackmd.io/_uploads/SyZODiI7lx.png) ![image](https://hackmd.io/_uploads/rJQxdj8meg.png) ## Tấn công XSS trên web - tải dvwa ``` sudo apt update && sudo apt install ca-certificates curl gnupg lsb-release -y && sudo mkdir -p /etc/apt/keyrings && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg && echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null && sudo apt update && sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin -y && sudo docker run -d -p 80:80 vulnerables/web-dvwa ``` ``` sudo apt update sudo apt upgrade -y sudo apt install ca-certificates curl gnupg lsb-release -y sudo mkdir -p /etc/apt/keyrings curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null sudo apt update sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin -y sudo usermod -aG docker $USER newgrp docker sudo docker run -d -p 80:80 vulnerables/web-dvwa ``` ``` sudo docker run -d --name dvwa -p 9999:80 -v /var/log/dvwa_apache:/var/log/apache2 vulnerables/web-dvwa ``` ![image](https://hackmd.io/_uploads/H1mXmnUQel.png) - test rule ``` <group name="web,">  <rule id="100200" level="12"> <if_sid>31106</if_sid> <match>script>|alert\(|onerror=|javascript:</match> <description>XSS attack detected: script tag or alert() found</description> <group>xss,</group> <mitre> <id>T1059.007</id> <tactic>Initial Access, Execution</tactic> <technique>Client-Side Injection</technique> </mitre> </rule> </group> ``` ![image](https://hackmd.io/_uploads/SkrPq287gl.png) Sử dụng web Apache2 có sẵn của Kali tiến hành thực hiện chèn câu lệnh Mở web apache2 trên một web nào đó chèn câu lệnh vào web ```/<script>alert(‘XSS%20Attack’);</script>``` - cấu hình trên agent ![image](https://hackmd.io/_uploads/BJNpgp8Qxl.png) ![image](https://hackmd.io/_uploads/r1RYJ6Imlx.png) ![image](https://hackmd.io/_uploads/B1t1l6IXxe.png) ![image](https://hackmd.io/_uploads/H1FEl6Imge.png) ![image](https://hackmd.io/_uploads/r1HexaUXlg.png) ## Tấn công SQLI Tiến hành khai thác Web bằng câu lệnh:* curl -XGET "http://192.168.46.131/users/?id=SELECT++FROM+users"; * ![image](https://hackmd.io/_uploads/rJbVf68Xgg.png) - Hiện Alerst trên máy Wazuh Servers: ![image](https://hackmd.io/_uploads/BkYTWTL7le.png) ![image](https://hackmd.io/_uploads/HydyMpL7xl.png) ![image](https://hackmd.io/_uploads/ry4XzaLQxg.png) ## Với window ![image](https://hackmd.io/_uploads/Bk_mfQvXxe.png) ![image](https://hackmd.io/_uploads/HyWVf7wXgx.png) ![image](https://hackmd.io/_uploads/B1ulI2PQle.png) Quá trình cài đặt hiện đã hoàn tất và Wazuh Agent đã được cài đặt thành công trên máy tính Windows. Bước tiếp theo là đăng ký và cấu hình Agent để giao tiếp với máy chủ Wazuh. Nhập địa chỉ IP của máy chủ Wazuh. Riêng đối với Authentication key, phải thực hiện đăng ký khóa trên máy chủ Wazuh. ![image](https://hackmd.io/_uploads/ryOlPhv7xe.png) Chọn (A)dd an Agent (A) để thêm Agent, sau đó nhập các thông tin của Agent như: tên Agent, địa chỉ IP, sau đó xác nhận thông tin ![image](https://hackmd.io/_uploads/SyYqdnDmle.png) Sau khi trở lại giao diện chính, thực hiện chọn E(xtract) key for an Agent (E) để khởi tạo khóa cho Agent. ![image](https://hackmd.io/_uploads/By0gtnDQlx.png) Khởi tạo khóa thành công, thực hiện sao chép khóa này vào Agent , sau cùng thực hiện lưu cấu hình vào chọn Manage -> Restart để khởi dộng lại Agent. ![image](https://hackmd.io/_uploads/SJPwY2D7xe.png) ![image](https://hackmd.io/_uploads/H1dtYnvQee.png) - trên wazuh đã thấy kết nối thành công 2 máy agent ![image](https://hackmd.io/_uploads/rk50YnD7ex.png) ![image](https://hackmd.io/_uploads/By1bc3D7xe.png) ### kịch bản 1 RAT Ý tưởng tấn công: người dùng truy cập vào trang web cung cấp game và vô tình khởi chạy RAT (Remote Access Trojan) mà kẻ tấn công đã nhúng sẵn. Sau khi bắt được tín hiệu từ RAT, kẻ tấn công đã có thể điều khiển được máy tính nạn nhân, bước tiếp theo kẻ tấn công tiến hành leo thang đặc quyền để có thể thực hiện được những mục đích xấu khác. Quá trình tấn công sẽ được diễn ra như sau: ![image](https://hackmd.io/_uploads/B1It23vXxx.png) Đầu tiên kẻ tấn công tạo RAT bằng công cụ msfvenom (plaform Metasploit), sau đó nhúng vào trang web mà hắn đã xây dựng sẵn. Sau khi khởi tạo thành công RAT, kẻ tấn công tiến hành sử dụng công cụ msfconsole để có thể lắng nghe tín hiệu và điều khiển RAT. ![image](https://hackmd.io/_uploads/r1cLR3v7le.png) Tiếp đến chỉ cần chờ nạn nhân click run RAT là có thể có quyền truy cập vào máy tính của nạn nhân. ![image](https://hackmd.io/_uploads/HyoVy6vQxl.png) ![image](https://hackmd.io/_uploads/S1YW16PQgx.png) ![image](https://hackmd.io/_uploads/Sk1N16DXee.png) Đầu tiên, kẻ tấn công thực hiện cmd command: “net user” để tìm kiếm tài khoản local ở máy nạn nhân. Sau khi có được thông tin tài khoản local máy nạn nhân, hắn bẳt đầu tiến hành brute force. ![image](https://hackmd.io/_uploads/H1wpX6PXxe.png) Tìm kiếm module smb_login, đây là module brute force vào máy nạn nhân thông qua lỗ hổng trên giao thức smb. ![image](https://hackmd.io/_uploads/r1bvNTDmee.png) Tiến hành cài đặt các thông số: ![image](https://hackmd.io/_uploads/rkzM86w7gg.png) - trước brute force ![image](https://hackmd.io/_uploads/Hkw8UTwXle.png) ![image](https://hackmd.io/_uploads/BJk-jTvQex.png) - sau khi bruteforce ![image](https://hackmd.io/_uploads/S1xOfRvmge.png) l