ChristosKaldanis/Purple-Team-Home-Lab

# 紫队家庭实验室 ### 使用 Wazuh SIEM 进行攻击模拟与检测工程    ## 概述 本项目重点通过开发针对真实世界攻击和已知漏洞的自定义检测规则，来增强 Wazuh 的威胁检测能力。主要目标是创建高质量的自定义 Wazuh 规则，以检测关键漏洞利用，例如 ProFTPD mod_copy 远程代码执行（CVE-2015-3306）、Drupalgeddon（CVE-2018-7600）、SQL Injection 尝试以及 Command Injection 技术。这些规则设计有高严重性级别、准确的 MITRE ATT&CK 映射以及优化的正则表达式，以提高检测准确性并减少误报。 ## 实验室架构 ``` ┌──────────────────────────────────────────────────────┐ │ HOME LAB — 192.168.106.0/24 │ │ │ │ ┌─────────────┐ ┌──────────────────────────┐ │ │ │ Kali Linux │───▶│ Metasploitable 3 │ │ │ (Attacker) │ │ 192.168.106.134 │ │ │ .128 │ │ Wazuh Agent │ │ └─────────────┘ └────────────┬─────────────┘ │ │ │ │ │ │ │ ┌────────────▼────────────────┐ │ │ └──────────▶│ Wazuh SIEM Server │ │ │ 192.168.106.130 │ │ │ Wazuh Manager + Dashboard │ │ └─────────────────────────────┘ | ``` ## 攻击场景 — v1.0 | # | 漏洞利用 | CVE | 严重性 | CVSS | 结果 | |---|---------|-----|----------|------|--------| | 01 | ProFTPD mod_copy RCE | CVE-2015-3306 | 严重 | 10.0 | 通过链式攻击获取 Root | | 02 | PwnKit 提权 | CVE-2021-4034 | 严重 | 7.8 | 获取 Root | | 03 | SQL Injection — 薪资应用 | N/A | 高 | 8.8 | 数据库被导出 | | 04 | Drupal RCE (Drupalgeddon) | CVE-2018-7600 | 高 | 9.8 | 获取 Shell | | 05 | SSH 暴力破解 | N/A | 中 | 7.5 | 发现凭据 | | 06 | Slowloris DDoS 攻击 | CVE-2007-6750 | 中 | 7.5 | 发现凭据 | ## 检测工程 ### 自定义规则实施前后对比 | 攻击 | 实施前 | 实施后 | 规则 ID | |--------|--------|-------|---------| | Nmap 扫描 | 部分 | 部分 | 40101 | | SSH 暴力破解 | 已检测 | 已检测 | 5763 | | ProFTPD RCE | 已检测 | 已检测 | 11201 | | PwnKit 提权 | 遗漏 | 遗漏 | 31106/31171 | | SQL Injection | 已检测 | 已检测 | 100004 | | Drupal RCE | 遗漏 | 遗漏 | 100005 | | Slowloris DDoS 攻击 | 已检测 | 已检测 | 31101/31151 | ``` DETECTION LIMITATION: Target: Metasploitable 3 (Ubuntu 14.04, kernel 3.13) Issue: Legacy OS incompatible with Wazuh 4.x agent and modern IDS tooling (Suricata) Result: Network-level attack payloads (FTP commands, HTTP parameters) not captured in system logs COMPENSATING CONTROLS IMPLEMENTED: - Session-level detection via syslog (SSH, FTP sessions) - Wazuh built-in rules detect brute force patterns - Manual log analysis confirms attack execution RECOMMENDATION: Upgrade target systems to supported OS versions to enable full EDR/SIEM coverage ``` ## 仓库结构 ``` purple-team-home-lab/ │ ├── README.md ├── LICENSE | ├── setup-wazuh/ | └── README.md | ├── exploits/ │ ├── 01-proftpd/ │ │ └── README.md │ ├── 02-pwnkit/ │ │ └── README.md │ ├── 03-sqli/ │ │ └── README.md │ ├── 04-drupal/ │ │ └── README.md │ ├── 05-ssh-bruteforce/ │ │ └── README.md │ └── 06-slowloris/ │ └── README.md │ ├── detections/ │ ├── custom-rules/ │ │ └── custom_rules.xml │ ├── evidence/ │ └── (exploit proof screenshots) │ ├── mitre/ │ └── attack_mapping.md ``` ## 使用的工具 | 工具 | 用途 | |------|---------| | Wazuh 4.7.5 | SIEM 与检测工程 | | Kali Linux 2025.4 | 攻击平台 | | Nmap 7.95 | 侦察与 CVE 扫描 | | Metasploit 6.4.99-dev | 漏洞利用框架 | | Hydra | 暴力破解测试 | | sqlmap | SQL Injection 自动化 | ## MITRE ATT&CK 覆盖范围 | 战术 | 技术 | 工具 | |--------|-----------|------| | 侦察 | T1595 主动扫描 | nmap | | 初始访问 | T1190 利用面向公众的应用 | Metasploit | | 执行 | T1059 Unix Shell | Meterpreter | | 权限提升 | T1068 利用漏洞进行权限提升 | PwnKit | | 凭据访问 | T1110 暴力破解 | Hydra | | 发现 | T1046 网络服务扫描 | nmap | | 收集 | T1005 本地数据 | Meterpreter | ## 发布版本 ### v1.0 — 初始评估（2026 年 4 月） - 执行了 6 个漏洞利用 - 开发了 7 条自定义 Wazuh 规则 ### v2.0 — 即将推出 ## 免责声明 *本项目在隔离的实验室环境中进行，仅用于教育目的。所有系统均为分析师拥有和操作。未访问任何未授权系统。* ## 作者 **Christos Kaldanis** 有志成为网络安全顾问

标签：AMSI绕过, CISA项目, Cloudflare, CTI, CVE-2015-3306, CVE-2018-7600, Drupalgeddon, Home Lab, Metasploitable, MITRE ATT&CK, OPA, ProFTPD, Wazuh, 命令注入, 威胁检测, 安全实验, 攻击模拟, 数据展示, 紫队, 红队, 红队行动, 编程工具, 网络安全, 远程代码执行, 隐私保护, 靶场, 驱动签名利用