Security Onion setup help

 如果安裝時設定值選錯中斷，不要重開機再跑一次

直接進入Security Onion的資料夾內，找兩個腳本

so-desktop-install #桌面

so-setup-network #網路

看你哪個設定錯誤，讓他重跑一次

主機IP設定是-例如192.168.1.1/24，後面要加子網路

開放連線的IP也要設定，不然連不進去

最後要設定信箱跟密碼，不要覺得自建實驗室不會對外，就亂輸入

那是WEB介面後台的帳密

sliver-C2-docker

 /opt/sliver-lab/ 

├── sliver/ # git clone https://github.com/BishopFox/sliver.git #自行下載

└── docker-compose.yml

Dockerfile #要替換掉

sysmon的log拋到alloy loki

Sysmon 是「行為監控」只負責記錄

用 Sysmon 抓取即時的攻擊（如行程注入）

先安裝sysmon，win11有內建，直接從舊版的控制台\開啟或關閉windows功能裡面啟動

如果是win10或以下，直接下載使用sysmon64，是執行檔不用安裝

下載跟說明參考微軟的文件https://learn.microsoft.com/zh-tw/sysinternals/downloads/sysmon

使用預設設定進行安裝（處理用 SHA1 雜湊的影像，且不監控網路）

sysmon -accepteula -i  #先執行這個因為有時候並沒有裝成功

sysmon -c c:\windows\config.xml     #套用設定檔

Havoc C2-docker

Havoc_Project/Havoc

Havoc_Project/Dockerfile

Havoc_Project/docker-compose.yml

Havoc_Project/profiles/havoc.yaotl

git clone https://github.com/HavocFramework/Havoc.git cd Havoc #自行下載

Client端請自行架設

--------------------------------------------------------------------------------------------------------

snort3搭配Promtail拋json到loki

我改用snort3搭配Promtail拋json到loki就成功了

Promtail跟snort3都安裝在kali-linux上

snort3的安裝跟設定方式略過，參考snort3 alloy loki 那一篇

安裝promtail跟設定

CVE-2026-31431的修補方式

 POC驗證腳本，這是本地權限提升 (LPE)漏洞，修改記憶體內容，達成越權

這個用snort3這種網路型的IDS沒用，要用HIDS或EDR才偵測的到

https://github.com/theori-io/copy-fail-CVE-2026-31431

snort3 alloy loki grafana 傳遞alert_json

測試完成重寫，alloy好像有比較快，還是錯覺

看來看去Promtail跟alloy真的很像，所以就測試成功了

用snort3搭配alloy拋json到loki

alloy跟snort3都安裝在kali-linux上

greenbone community edition docker 掛載容器遇到有元件無法下載的問題

 https://greenbone.github.io/docs/latest/22.4/container/index.html

原廠的安裝說明文件，說只能掛在這些系統上

Debian stable (bookworm)

Ubuntu 24.04 LTS

Fedora 35 and 36

CentOS 9 Stream

所以我就在windows上，蓋WSL2，在蓋上Ubuntu24.4測試

SecureClaw

專案網址在這裡，有玩龍蝦的人應該知道是什麼

 https://github.com/adversa-ai/secureclaw

SecureClaw is a 360-degree security plugin and skills that audits your OpenClaw installation for misconfigurations and known vulnerabilities, applies automated hardening fixes, and gives your agent behavioral security rules that protect against prompt injection, credential theft, supply chain attacks, and privacy leaks.

Fedora-IoT-raw-43-20251024.0.aarch64.raw

 最近研究一個Fedora-IoT的開源專案

寫進樹莓派後開機沒有預設帳密

所以要在燒入映像檔時就要寫入

先去下載Fedora-IoT-raw-43-20251024.0.aarch64.raw這個版本

建立一個SSH-key

把公鑰加在映像檔寫入

arm-image-installer

--image=Fedora-IoT-raw-43-20251024.0.aarch64.raw.xz       //版本

--target=rpi5             //看你是哪一代的

--media=/dev/sdc       //隨身碟路徑

--resizefs                    

--addkey=/XXX/.ssh/id_XXXX.pub       //公鑰的路徑

--norootpass -y

開機後從遠端SSH使用私鑰登入

最近在資源回收場撿到一台SRX-300防火牆

 最近在資源回收場撿到一台SRX-300防火牆，開機發現韌體損毀，死馬當活馬醫，去抓韌體寫進去開看看，問AI看看，方法有很多種，但不是都可以成功，最簡單就是找一個USB隨身碟，寫入一個autoinstall.conf檔跟韌體檔junos-srxsme-X.X.X.tgz，conf檔內不用寫腳本，防火牆開機後就會偵測到隨身碟直接安裝，然後就活過來了

最近發現Podman比Docker好用

FortiAnalyzer跟Forti防火牆搭配，很吃版本

 最近在資源回收場撿到一台FortiAnalyzer 100C 跟Forti防火牆搭配，很吃版本搭配，AI跟我說連線協定降低可以用SYSLOG模式通吃，不行就是不行，6.X.X就是配6.X.X