20일차


elasticsearch에서 실시간으로 패킷보내는것을 확인하기


nano /etc/packetbeat/packetbeat.yml에서 elasticsearch_output에서 host아이피를 10.0.2.3으로 변경
systemctl restart packetbeat

10.0.2.3으로 들어가서
stack management -> index management 파일 올라오는것 확인

kibana -> index patterns -> create index pattern에서 packetbeat 가져오기 -> @timestamp 설정 -> discover

systemctl restart filebeat
systemctl restart packetbeat
systemctl enable filebeat
systemctl enable packetbeat
reboot


패킷이 보내졌는데 안받아짐
서버에서 설정 안해줬기 때문에 설정해줘야함
cd /etc/logstash/conf.d
nano ample.conf
input {
  beats{
    port => 5044
 }
}


output {
  elasticsearch {
  hosts => ["localhost:9200"]
  index => "IP15_logstash-%{+YYYY.MM.dd}"
  }
}


systemctl start logstash
netstat -ant | grep 5044


공격방법
프록시 인터셉트 on
로그인 하면 페이지가 안넘어가고 
잡혀있는다
HTTP history에서 맨마지막 부분 들어가서 send intruder
여기서 password를하고 add추가 그다음 payloads에 들어가서 setting에서 비번을 치고 공격을하면 length가 큰 암호가 하나가 보이는데 그게 해당아이디의 비번


해커 101
서버 102
selk 103
window 104
dvwa에서 사용된 users 테이블은 몇개의 필드로 구성되어있고 왜 있는가?


user_id
first_name
last_name
user
password
avator
last_login timestamp (시간)
failed_login int (정수)