openrasp部署小记

发布于 2019-03-26  1.35k 次阅读


0x00 前述

Gartner 在2014年提出了 运行时应用自我保护 技术的概念,即 对应用服务的保护,不应该依赖于外部系统;应用应该具备自我保护的能力。OpenRASP 是该技术的开源实现,它改变了防火墙依赖请求特征来拦截攻击的模式。对于注入类的漏洞,我们可以识别用户输入的部分,并检查程序逻辑是否被修改。由于不依赖请求特征,我们每条报警都是成功的攻击。

官方文档https://rasp.baidu.com/doc/

这里我们部署openrasp管控端,以及一个官方tomcat易受攻击Agent 环境。

0x01    材料准备

  • CentOs 7 x2
  • MongoDB-linux-x86_64-3.6.11
  • ElasticSearch-6.6.2
  • apache-tomcat-8.5.38
  • 链接:https://pan.baidu.com/s/1bjgpdh7btu_cFJtT1ydbXA 提取码:ye1v

0x02    管控部署

在/home目录下上传所需安装包

1、安装elasticsearch-6.6.2

  • rpm -ivh elasticsearch-6.6.2.rpm

修改配置

  • vim /etc/elasticsearch/elasticsearch.yml
  • network.host: 127.0.0.1
  • http.port: 9200

启动相关

  • systemctl daemon-reloa
  • systemctl re/start elasticsearch
  • systemctl status elasticsearch

查看

  • curl 127.0.0.1:9200

2、安装mongodb-linux-x86_64-3.6.11

解压、创建所需目录

  • tar -zxvf mongodb-linux-x86_64-3.6.11.tgz
  • mv mongodb-linux-x86_64-3.6.11 /usr/local/mongodb
  • mkdir -p /usr/local/mongodb/data
  • mkdir -p /usr/local/mongodb/logs
  • mkdir -p /usr/local/mongodb/run

添加环境变量

  • export MONGODB_HOME=/usr/local/mongodbexport PATH=$MONGODB_HOME/bin:$PATH
  • source /etc/profile

创建配置文件

  • vi /usr/local/mongdb/mongod.conf

内容

systemLog:
destination: file
path: /usr/local/mongodb/logs/mongodb.log
storage:
dbPath: /usr/local/mongodb/data
processManagement:
fork: true
pidFilePath: /usr/local/mongodb/logs/mongod.pid
net:
bindIp: 0.0.0.0

从配置文件启动

  • mongod --config /usr/local/mongodb/mongod.conf

如此即可

3、安装rasp-cloud

  • tar -zxvf rasp-cloud.tar.gz
  • cd rasp-cloud-2019-03-26
  • nohup ./rasp-cloud &
  • tail -f nohup.out

这里因为是本机安装的mongodb与 elasticsearch,所以配置不用修改,如果是远程数据库需要修改/home/rasp-cloud-2019-03-26/conf/app.conf文件 , 将 PanelServerURLAgentServerURL 里面的 127.0.0.1 替换为你的服务器IP或者域名。

访问ip:8086

管控部署完成

0x03    Agent部署

在/home目录下上传所需安装包

这里我安装了一个干净的tomcat8,加入了官方的vulns.war

安装也非常简单,进入管理后台点击添加主机

复制raspinstall命令,但注意tomcat路径要修改为自己的tomcat路径

  • java -jar RaspInstall.jar -install /home/tomcat -appid fed9ac7f4481528881f91ecde90b93bbdcb31cbd -appsecret 3aUmJsODz7sutWw5zzkq3DN0wDCSxVLhlBSqWbm1l5e -backendurl http://192.168.159.134:8086/
安装完成后tomcat根目录会出现rasp文件夹

重启tomcat后来到管控端

  • openrasp/admin@123

Agent上线,我们到官方演示项目打几发

触发威胁报警页面

当然,这个页面也可以自定义

如此

攻击事件展示

漏洞列表


这是个互联网极端发达的时代,但却无人能够同步感知你的痛苦。