目录

一、wazuh安装

二、wazuh使用

---

一、wazuh安装

下载：https://wazuh.com

可以直接安装OVA这个，然后导入到Linux中就可以使用了。

 导入完毕后开启，使用远程连接工具进行连接，出现以下画面则成功了。

 

 之后可以看一下图形化界面，使用IP地址进行登录。账号和密码均为admin

登录后所示页面。

 到此wazuh安装完毕，就可以使用wazuh了。

二、wazuh使用

使用Ubuntu作为客户端，使用wazuh为服务端进行演练，检测sql注入攻击。

首先进行代理的添加。

 代理添加完毕，在服务端可以看见添加后的代理。

然后在ubuntu端点进行配置如下。

（1）安装apache。

  apt install apache2

（2）查看apache是否成功，

使用IP地址进行登录查看，出现以下页面则成功。 

（3）将以下行添加到 Wazuh 代理/var/ossec/etc/ossec.conf文件中。这允许 Wazuh 代理监控 Apache 服务器的访问日志。

<ossec_config><localfile><log_format>apache</log_format><location>/var/log/apache2/access.log</location></localfile>
</ossec_config>

（4） 添加完毕重启wazuh代理

重启wazuh:
systemctl restart wazuh-agent

配置完成，之后模拟客户端进行注入，服务端进行检测。

使用如下命令，在攻击端进行。

curl -XGET "http://<UBUNTU_IP>/users/?id=SELECT+*+FROM+users";

注意： <UBUNTU_IP>为IP地址。

出现404不用管，因为本来也没有可展示的内容，在服务端只看一下是否有了sql的注入提示。

 刷新一下，可见检测到了sql注入。

之后我们进行一下手动触发，观察一下那个规则起作用了。

页面没有反应则表示成功了，本来也没有可显示的。

然后进行查看是否检测到。

可见检测到了。

有了注入就要进行防御，如何防御？

（1）使用代理进行防御

（2）进行系统防御

以上为wazuh的相关介绍，如何使用wazuh进行sql注入的检测。