31.5.26

sliver-C2-docker

 /opt/sliver-lab/ 

├── sliver/ # git clone https://github.com/BishopFox/sliver.git #自行下載

└── docker-compose.yml

Dockerfile #要替換掉

閱讀更多 »
By 沒有留言:
標籤:

24.5.26

sysmon的log拋到alloy loki



Sysmon 是「行為監控」只負責記錄
用 Sysmon 抓取即時的攻擊(如行程注入)
先安裝sysmon,win11有內建,直接從舊版的控制台\開啟或關閉windows功能裡面啟動
如果是win10或以下,直接下載使用sysmon64,是執行檔不用安裝
下載跟說明參考微軟的文件https://learn.microsoft.com/zh-tw/sysinternals/downloads/sysmon
使用預設設定進行安裝(處理用 SHA1 雜湊的影像,且不監控網路)
sysmon -accepteula -i  #先執行這個因為有時候並沒有裝成功
sysmon -c c:\windows\config.xml     #套用設定檔
閱讀更多 »
By 沒有留言:
標籤:

17.5.26

Havoc C2-docker



Havoc_Project/Havoc

Havoc_Project/Dockerfile

Havoc_Project/docker-compose.yml

Havoc_Project/profiles/havoc.yaotl

git clone https://github.com/HavocFramework/Havoc.git cd Havoc #自行下載

Client端請自行架設

--------------------------------------------------------------------------------------------------------

閱讀更多 »
By 沒有留言:
標籤:

3.5.26

snort3搭配Promtail拋json到loki

我改用snort3搭配Promtailjsonloki就成功了



Promtailsnort3都安裝在kali-linux

snort3的安裝跟設定方式略過,參考snort3 alloy loki 那一篇

安裝promtail跟設定

閱讀更多 »
By 沒有留言:
標籤:

2.5.26

CVE-2026-31431的修補方式

 POC驗證腳本,這是本地權限提升 (LPE)漏洞,修改記憶體內容,達成越權

這個用snort3這種網路型的IDS沒用,要用HIDS或EDR才偵測的到

https://github.com/theori-io/copy-fail-CVE-2026-31431

閱讀更多 »
By 沒有留言:
標籤:
訂閱: 文章 (Atom)