如果安裝時設定值選錯中斷,不要重開機再跑一次
直接進入Security Onion的資料夾內,找兩個腳本
so-desktop-install #桌面
so-setup-network #網路
看你哪個設定錯誤,讓他重跑一次
主機IP設定是-例如192.168.1.1/24,後面要加子網路
開放連線的IP也要設定,不然連不進去
最後要設定信箱跟密碼,不要覺得自建實驗室不會對外,就亂輸入
那是WEB介面後台的帳密
7.6.26
31.5.26
sliver-C2-docker
/opt/sliver-lab/
├── sliver/ # git clone https://github.com/BishopFox/sliver.git #自行下載
└── docker-compose.yml
Dockerfile #要替換掉
24.5.26
sysmon的log拋到alloy loki
Sysmon 是「行為監控」只負責記錄
用 Sysmon 抓取即時的攻擊(如行程注入)
先安裝sysmon,win11有內建,直接從舊版的控制台\開啟或關閉windows功能裡面啟動
如果是win10或以下,直接下載使用sysmon64,是執行檔不用安裝
下載跟說明參考微軟的文件https://learn.microsoft.com/zh-tw/sysinternals/downloads/sysmon
使用預設設定進行安裝(處理用 SHA1 雜湊的影像,且不監控網路)sysmon -accepteula -i #先執行這個因為有時候並沒有裝成功
sysmon -c c:\windows\config.xml #套用設定檔
17.5.26
Havoc C2-docker
Havoc_Project/Havoc
Havoc_Project/Dockerfile
Havoc_Project/docker-compose.yml
Havoc_Project/profiles/havoc.yaotl
git clone https://github.com/HavocFramework/Havoc.git cd Havoc #自行下載
Client端請自行架設
--------------------------------------------------------------------------------------------------------
3.5.26
snort3搭配Promtail拋json到loki
我改用snort3搭配Promtail拋json到loki就成功了
Promtail跟snort3都安裝在kali-linux上
snort3的安裝跟設定方式略過,參考snort3 alloy loki 那一篇
安裝promtail跟設定
訂閱:
文章 (Atom)