渗透学习笔记(四)window基础2
声明!
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)
五、Windows 网络配置与安全
1、 网络接口与协议深入剖析
不同类型网络适配器特点与配置:
有线网卡:是通过网线连接到局域网或者互联网的硬件设备,具有稳定、高速传输的特点,通常适用于对网络稳定性要求较高的场景,如企业办公环境、数据中心等。在 Windows 系统中,可以通过 “控制面板 \ 网络和 Internet\ 网络连接” 查看有线网卡的详细信息,比如其名称(一般以 “本地连接” 或者按照网卡厂商命名等方式呈现)、连接状态(是否已连接、连接速度等)、MAC 地址(物理地址,是网卡在网络中的唯一标识,由 12 位十六进制数表示,形如 “00-11-22-33-44-55”)以及分配的 IP 地址等信息。配置有线网卡时,可以手动设置 IP 地址、子网掩码、默认网关、DNS 服务器地址等网络参数(一般在网络连接的属性中,找到对应的 “Internet 协议版本 4(TCP/IPv4)” 或 “Internet 协议版本 6(TCP/IPv6)” 选项进行设置),也可以选择自动获取这些参数(通常在局域网环境中,通过 DHCP 服务自动分配)。例如,在搭建一个小型办公局域网时,如果要设置固定的 IP 地址段,就需要手动为每个有线网卡配置相应的 IP 地址等参数,确保各计算机之间能准确通信;而在大型企业网络中,更多是采用自动获取的方式,方便网络管理员统一管理和分配网络资源。
无线网卡:实现计算机与无线网络的连接,提供了便捷的移动上网功能,广泛应用于笔记本电脑、平板电脑等移动设备以及一些需要灵活组网的场景。无线网卡除了具备与有线网卡类似的基本网络参数配置功能外,还需要配置无线网络的 SSID(Service Set Identifier,也就是无线网络的名称)以及连接密码(如果无线网络设置了加密)等信息才能连接到相应的无线网络。在 Windows 系统中,打开无线网卡的管理界面(可以通过系统托盘区的无线网络图标或者 “网络连接” 中的无线网卡选项进入),能看到周围可用的无线网络列表,显示各网络的 SSID、信号强度、加密方式等信息,用户可以选择要连接的网络并输入正确密码进行连接。无线网卡的传输性能受多种因素影响,如距离无线路由器的远近、周围环境中的干扰情况(其他无线设备、障碍物等)等,在进行渗透测试涉及无线网络时,需要考虑这些因素对信号强度和稳定性的影响,以便更好地进行无线攻击或防御策略制定。
虚拟网络适配器:像 Windows 自带的 Hyper-V 虚拟化技术创建虚拟机时会生成虚拟网络适配器,用于虚拟机与物理主机以及外部网络之间的通信。虚拟网络适配器的配置相对复杂一些,它可以根据不同的网络模式进行设置,比如 “外部网络” 模式下,虚拟机可以直接连接到物理主机所在的外部网络,相当于虚拟机和物理主机处于同一个局域网中,能与外部网络中的其他设备直接通信;“内部网络” 模式则是仅在虚拟机与物理主机之间或者虚拟机之间构建一个内部的局域网环境,与外部网络隔离;“专用网络” 模式类似内部网络,但更加侧重于特定虚拟机之间的通信,常用于构建安全的测试环境等。了解虚拟网络适配器的不同模式和配置对于在虚拟化环境下进行网络渗透测试、搭建安全隔离的网络架构等操作非常重要,攻击者可能会利用虚拟网络适配器的配置漏洞或者不当设置来突破虚拟机与物理主机之间的安全防线,实现对物理主机或者其他虚拟机的非法访问。
蓝牙适配器:用于实现短距离无线通信,常应用在连接无线鼠标、键盘、耳机等外部设备以及与其他支持蓝牙功能的设备进行数据传输等场景。在 Windows 系统中,通过 “设置” 中的 “蓝牙和其他设备” 选项可以管理蓝牙连接,查看已配对设备、搜索附近可配对的蓝牙设备并进行配对操作。蓝牙适配器同样有其对应的配置参数,比如蓝牙的传输功率(影响连接范围和稳定性)、可发现模式(决定是否允许其他设备搜索到自身)等。从安全角度看,蓝牙存在一定风险,例如未经授权的设备可能尝试与开启了可发现模式的蓝牙适配器配对,一旦配对成功,可能获取设备上的数据或者利用蓝牙连接进行恶意操作,像通过蓝牙漏洞传播恶意软件等情况,所以在不使用蓝牙功能时,建议关闭可发现模式以降低安全风险。
移动热点适配器(针对具备此功能的设备):可将具有移动网络连接(如 4G、5G 等)的设备作为热点,供其他设备通过无线方式连接上网。在 Windows 系统中,可在 “网络和 Internet” 设置里配置移动热点的相关参数,包括热点名称(SSID)、密码、频段选择(2.4GHz 或 5GHz,不同频段有不同的传输特性和覆盖范围)等。然而,若热点密码设置过于简单,容易被他人破解后蹭网,不仅消耗自身的移动网络流量,还可能面临安全威胁,因为连接到热点的其他设备可能会对共享网络中的设备发起攻击,比如进行端口扫描、中间人攻击等,所以要合理设置复杂且安全的热点密码,并定期更换。
网络适配器的高级功能与相关设置:
MAC 地址克隆与修改:在某些情况下,用户可能需要修改网络适配器的 MAC 地址,比如在网络访问受限,需要伪装成其他合法设备进行访问时,或者在进行网络测试、绕过基于 MAC 地址的认证等场景中。Windows 系统下可以通过一些第三方工具或者在设备管理器中对网络适配器的属性进行特定操作来修改 MAC 地址(不过这种修改通常需要管理员权限)。例如,在一个校园网环境中,如果网络限制了某些 MAC 地址段的访问,攻击者可能会尝试克隆一个允许访问的设备的 MAC 地址来绕过限制,获取网络连接权限;而在渗透测试中,测试人员也可能会利用 MAC 地址修改来模拟不同的设备进行网络行为分析和漏洞探测。
网络适配器的高级属性调整:网络适配器还有一些高级属性可以调整,如网卡的传输速率、双工模式(半双工、全双工)、接收和发送缓冲区大小等。这些属性的合理设置可以优化网络性能,但如果设置不当,可能会导致网络连接不稳定、丢包等问题。例如,在一个高速网络环境中,如果网卡的传输速率设置过低,就无法充分利用网络带宽,影响数据传输效率;而如果双工模式与网络设备(如交换机等)不匹配,可能会出现数据冲突,导致网络通信出现错误。一般来说,这些高级属性在默认情况下会根据网卡的硬件能力和网络环境自动适配,但在一些特殊的网络故障排查或者网络优化场景中,就需要手动调整这些属性来解决问题。
网络协议支持详细解析:
TCP/IP 协议族核心协议功能与机制:
TCP(Transmission Control Protocol,传输控制协议):这是一种面向连接的、可靠的传输层协议,它通过三次握手建立连接、四次挥手断开连接的机制来确保数据传输的可靠性。在三次握手中,客户端先向服务器发送一个 SYN 包,表示请求建立连接,服务器收到后回复一个 SYN + ACK 包,表示同意建立连接并对客户端的请求进行确认,客户端再发送一个 ACK 包完成连接的建立过程。这种机制保证了双方在通信前能确认对方的存在和准备情况,避免无效的数据传输。在数据传输过程中,TCP 会对发送的数据进行编号、确认、重传等操作,确保数据准确无误地到达目的地。例如,当你通过浏览器下载一个较大的文件时,浏览器与服务器之间就是通过 TCP 协议进行通信的,即使在传输过程中出现部分数据丢失的情况,TCP 也会自动重传丢失的数据,保证文件完整下载。从渗透测试角度看,攻击者可以通过分析 TCP 协议的握手、挥手过程以及数据传输中的序列号、确认号等信息,判断目标系统的网络状态、是否存在异常的连接(如未授权的远程连接等),还可以利用 TCP 协议的一些特性进行攻击,比如 SYN 洪泛攻击,攻击者大量发送伪造的 SYN 包,使目标服务器忙于处理这些请求,无法正常响应其他合法的连接请求,导致拒绝服务攻击(DoS)的效果。
UDP(User Datagram Protocol,用户数据报协议):与 TCP 不同,UDP 是一种无连接的、不可靠的传输层协议,它不保证数据一定会准确无误地到达目的地,也没有像 TCP 那样复杂的连接建立和断开机制。UDP 主要用于一些对实时性要求较高但对数据准确性要求相对不那么严格的场景,比如在线视频播放、网络游戏等,因为在这些场景中,偶尔丢失一些数据帧不会对整体的用户体验产生太大影响,而且可以减少因数据确认、重传等操作带来的延迟。例如,在实时的视频通话中,语音和图像数据通过 UDP 协议传输,即使个别数据包丢失,后续的数据包依然可以继续传输,保证通话的流畅性。在安全分析中,UDP 数据包的源地址、目的地址以及端口信息等可以帮助判断网络中是否存在异常的流量,比如一些恶意软件可能会利用 UDP 端口进行隐蔽的数据传输,将收集到的用户敏感信息发送出去,由于 UDP 本身的无连接特性,使得这类非法传输相对更难被发现和追踪,所以需要特别关注 UDP 流量中的异常情况。
IP(Internet Protocol,互联网协议):IP 协议位于网络层,主要负责将数据包从源地址发送到目的地址,它为网络上的每台设备分配一个唯一的 IP 地址(如常见的 IPv4 地址,格式为 xxx.xxx.xxx.xxx,其中每个 xxx 取值范围是 0 - 255;以及逐渐普及的 IPv6 地址,格式更加复杂且具有海量的地址空间)。IP 协议通过 IP 首部中的信息来标识源和目的 IP 地址、协议类型(如表明是 TCP 还是 UDP 等)以及数据包的其他相关属性。在网络通信中,IP 协议要处理数据包的分片与重组,因为不同的网络链路对数据包的大小限制不同,当数据包过大时,IP 协议会将其拆分成多个较小的分片进行传输,在接收端再将这些分片重新组合成原始的数据包。例如,在一个跨多个不同网络环境(如从局域网经过广域网再到另一个局域网)的通信场景中,IP 协议会根据各链路的 MTU(最大传输单元)来动态地进行数据包分片与重组操作。从安全角度看,IP 地址欺骗是一种常见的攻击手段,攻击者通过伪造源 IP 地址,使目标系统误以为数据包来自合法的源,进而可能误导目标系统进行一些不该进行的操作,比如向伪造的源地址反馈信息,攻击者借此收集目标系统的相关情报或者干扰正常的网络通信秩序。在 IPv6 环境下,其地址格式由 8 组 16 进制数表示,每组用冒号隔开,例如 “2001:0db8:85a3:0000:0000:8a2e:0370:7334”,且它具有海量的地址空间,解决了 IPv4 地址资源日益匮乏的问题。
IPv6 还内置了一些安全特性,如 IPsec 的强制支持,使得网络通信在加密、认证等安全方面有更好的保障。但 IPv6 的普及也带来了一些新的安全挑战,比如部分网络管理员对 IPv6 安全配置不够熟悉,可能导致配置不当出现安全漏洞;一些恶意软件也开始针对 IPv6 网络进行攻击,利用其新的特性隐藏自身或进行非法的数据传输等,所以在网络安全管理中,对 IPv6 相关的网络配置和安全监控同样需要重视。
TCP 和 UDP 端口及端口扫描相关概念:端口是 TCP 和 UDP 协议中用于标识不同应用程序或服务的数字编号,范围是 0 - 65535。其中,0 - 1023 为知名端口,被一些常用的网络服务所占用,比如 HTTP 服务默认使用 TCP 端口 80,HTTPS 服务使用 TCP 端口 443,FTP 服务使用 TCP 端口 20(数据传输)和 21(控制连接)等;1024 - 49151 为注册端口,通常供一些用户注册的应用程序或服务使用;49152 - 65535 为动态和私有端口,操作系统会动态分配给一些临时启动的应用程序使用。端口扫描是渗透测试和网络攻击中常用的一种手段,攻击者通过使用工具(如 Nmap 等)向目标系统的各个端口发送探测数据包,根据目标系统的响应情况来判断端口是否开放,进而推测目标系统上运行了哪些服务,是否存在可利用的漏洞。例如,如果扫描发现目标系统的 TCP 端口 8080 开放,结合其他信息判断可能运行了一个 Web 应用程序,攻击者就会进一步查找该 Web 应用程序相关版本是否存在已知的安全漏洞,以便实施后续的攻击步骤。
其他常用网络协议及作用:
ICMP(Internet Control Message Protocol,互联网控制报文协议):主要用于在网络设备之间传递控制消息,比如用于测试网络连通性的 “ping” 命令就是基于 ICMP 协议实现的。当你在命令提示符中输入 “ping [目标 IP 地址]” 时,源主机向目标主机发送 ICMP Echo Request 报文,目标主机收到后会回复 ICMP Echo Reply 报文,通过这种方式可以判断两台主机之间是否能够正常通信以及网络的延迟情况等信息。但 ICMP 协议也可能被攻击者利用,例如通过发送大量的 ICMP 报文进行 ICMP 洪泛攻击,消耗目标网络设备的带宽和系统资源,导致网络性能下降甚至瘫痪,类似于前面提到的基于 TCP 的 SYN 洪泛攻击,都是拒绝服务攻击(DoS)的常见手段。另外,一些高级的网络扫描工具会利用 ICMP 协议的特性进行隐蔽扫描,通过分析目标系统对不同类型 ICMP 报文的响应情况来收集目标系统的网络配置、开放端口等相关信息,为后续的渗透攻击做准备。
ARP(Address Resolution Protocol,地址解析协议):用于将 IP 地址解析为对应的 MAC 地址,因为在局域网中,数据传输实际上是基于 MAC 地址进行的,当主机知道目标主机的 IP 地址但不知道其 MAC 地址时,就会通过 ARP 协议发送 ARP 请求广播报文,询问 “谁是这个 IP 地址对应的 MAC 地址”,拥有该 IP 地址的目标主机收到广播后会回复 ARP 应答报文,告知自己的 MAC 地址,这样源主机就能将 IP 地址和 MAC 地址对应起来,后续的数据就能准确地发送到目标主机了。然而,ARP 协议存在安全隐患,ARP 欺骗是一种常见的局域网攻击手段,攻击者可以发送虚假的 ARP 应答报文,篡改其他主机中的 ARP 缓存表(主机本地存储的 IP 地址与 MAC 地址对应关系的记录表),将自己的 MAC 地址伪装成其他合法主机的 MAC 地址,从而截获原本要发送给其他主机的数据,进行中间人攻击,窃取敏感信息或者篡改数据内容等恶意操作。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议):用于在局域网环境中自动为客户端设备分配 IP 地址、子网掩码、默认网关、DNS 服务器地址等网络参数,大大简化了网络管理员的工作以及客户端设备的网络配置流程。当客户端设备(如电脑、手机等)接入局域网并设置为自动获取 IP 地址时,它会向局域网中的 DHCP 服务器发送 DHCP 请求报文,DHCP 服务器收到请求后,从预先配置的 IP 地址池中选择一个可用的 IP 地址分配给客户端,并将相关的网络参数一并告知客户端,使得客户端能够快速接入网络并正常通信。然而,DHCP 协议也存在安全风险,比如未经授权的设备可能伪装成 DHCP 服务器,向局域网中的其他设备发送错误的网络配置信息,导致这些设备无法正常上网或者将网络流量引导至恶意的网络环境中,进行中间人攻击等,所以在企业等安全要求较高的网络环境中,通常会对 DHCP 服务器进行严格的认证和访问控制,防止此类攻击的发生。
DNS(Domain Name System,域名系统):主要用于将便于人类记忆的域名(如 www.example.com)转换为对应的 IP 地址,因为在网络通信中,计算机实际上是通过 IP 地址来进行数据传输的。当用户在浏览器中输入域名后,浏览器会先向本地 DNS 缓存(位于操作系统中,会存储最近查询过的域名与 IP 地址对应关系,加快查询速度)查询该域名对应的 IP 地址,如果缓存中没有,就会向本地 DNS 服务器(通常由网络服务提供商提供或者企业内部自行配置)发送 DNS 查询请求,本地 DNS 服务器再层层向上级 DNS 服务器查询,直到找到对应的 IP 地址并返回给浏览器,然后浏览器才能与对应的服务器建立基于 IP 地址的网络连接。DNS 存在诸多安全问题,常见的有 DNS 缓存中毒攻击,攻击者通过篡改 DNS 缓存中的域名与 IP 地址对应关系,使得用户访问某些域名时被引导到恶意的网站上,导致信息泄露、下载恶意软件等后果;还有 DNS 劫持,指攻击者通过控制网络中的某些节点(如路由器等),强制修改 DNS 服务器的配置或者拦截 DNS 查询请求,将用户的网络流量重定向到恶意的服务器,所以保障 DNS 的安全对于整个网络安全至关重要,可通过使用安全的 DNS 服务器(如一些知名的公共 DNS 服务提供商的 DNS 服务器,或者企业内部配置的经过严格安全防护的 DNS 服务器)、定期清理 DNS 缓存等措施来防范相关的安全风险。
2、网络安全机制深度解读
防火墙:
Windows 自带防火墙基本原理与功能:Windows 自带的防火墙是一种基于规则的网络访问控制工具,它通过对进出计算机的网络流量进行过滤,来决定哪些网络连接是被允许的,哪些是被阻止的。防火墙会检查每个数据包的源 IP 地址、目的 IP 地址、源端口、目的端口以及使用的协议等信息,并根据预先设定的规则来做出判断。例如,默认情况下,Windows 防火墙会阻止来自外部网络的未经请求的入站连接,以保护计算机免受外部的恶意攻击;但对于一些常见的、安全的网络服务(如 Windows Update 服务需要从微软服务器下载更新,浏览器访问网页需要与外部网站建立连接等),防火墙会自动允许相关的出站连接,保障系统能够正常与外界通信。同时,用户也可以根据自己的需求手动添加、修改或删除防火墙规则,比如当安装了一款新的网络应用程序,需要允许其与外部服务器进行通信时,就可以在防火墙设置中添加一条相应的规则,指定允许该应用程序对应的进程使用特定的端口和协议进行出站连接。
防火墙规则配置与管理:可以通过 “控制面板 \ 系统和安全 \Windows 防火墙” 进入防火墙设置界面,在这里可以查看和管理现有的防火墙规则,包括入站规则和出站规则。入站规则主要控制外部网络的流量能否进入本地计算机,出站规则则管理本地计算机主动发起的对外网络连接情况。在规则配置中,可以详细指定规则适用的程序或服务(通过选择对应的可执行文件路径或服务名称)、协议类型(如 TCP、UDP、ICMP 等)、本地和远程端口范围、源和目的 IP 地址范围等信息。例如,要限制某个网络游戏程序只能在特定的时间段内访问网络,可以创建一条出站规则,设置该游戏的可执行文件路径,选择 TCP 或 UDP 协议(根据游戏实际使用的协议),指定游戏常用的端口范围,然后设置规则的生效时间为允许的时间段,这样在其他时间段该游戏就无法与外部网络建立连接了。另外,还可以根据不同的网络位置(如家庭网络、工作网络、公用网络等)设置不同的防火墙规则集,以适应不同环境下的网络安全需求,比如在公用网络环境下,通常会采用更严格的防火墙规则,阻止更多的入站连接,防止他人随意访问本地计算机上的资源。
防火墙的安全策略与漏洞利用及防范:虽然 Windows 防火墙能提供一定的网络安全防护,但如果规则配置不当,就可能存在安全漏洞。例如,若误将某个敏感端口的入站规则设置为允许,而该端口对应的服务又存在漏洞,攻击者就可能利用这个机会通过该端口入侵系统;或者在出站规则方面,如果没有合理限制某些可疑程序的对外连接权限,恶意软件可能会趁机将收集到的用户敏感信息发送出去。攻击者也会尝试利用一些技术手段来绕过防火墙的限制,比如利用合法的已开放端口进行隧道传输(如通过 HTTP 隧道技术,将恶意流量伪装成正常的 HTTP 网页请求流量,借助浏览器等合法应用程序的对外连接权限穿过防火墙),或者利用防火墙规则更新的时间差,快速发起攻击等。为了防范这些情况,一方面要确保防火墙规则的合理配置,定期检查和更新规则,根据系统上实际运行的软件和服务需求准确设置允许和阻止的网络连接;另一方面,可以结合其他第三方的网络安全防护软件,它们往往具有更智能的流量分析和防护功能,能够检测和阻止一些复杂的绕过防火墙的攻击手段,增强整体的网络安全防护能力。
六、Windows 命令行工具
1.、常用命令行工具介绍
CMD(命令提示符):
文件与目录操作命令:
dir:这是查看目录下文件和文件夹信息的常用命令,通过输入 “dir [目录路径]”(若不指定目录路径,则默认显示当前目录下的内容),可以看到文件和文件夹的名称、大小、创建时间、修改时间等信息,还能显示隐藏文件(需添加 “/a” 参数,如 “dir /a”),方便对文件系统进行快速浏览和初步了解。例如,在排查系统中是否存在异常文件时,可以使用 “dir /a” 命令查看所有文件,包括隐藏文件,检查是否有来源不明或可疑的文件存在。
cd:用于切换目录,格式为 “cd [目录路径]”。例如,“cd C:\Windows” 可以进入系统的 Windows 文件夹;若要返回上一级目录,可使用 “cd..” 命令,连续使用可逐级向上返回;如果要快速切换到当前用户的主目录(类似于 Linux 中的 “~” 目录概念),可以输入 “cd % USERPROFILE%”,掌握 “cd” 命令对于在命令行下灵活导航文件系统、查找文件等操作至关重要。
md 和 rd:分别用于创建新的文件夹(“md [文件夹名称]”)和删除空的文件夹(“rd [文件夹名称]”,若要删除非空文件夹,需添加 “/s” 参数,如 “rd /s [文件夹名称]”,使用该参数时要谨慎,因为会直接删除指定文件夹及其内部的所有文件和子文件夹,且删除操作是不可逆的,一旦执行,文件夹内的所有数据将永久丢失,很可能会误删重要资料。例如,若执行 “rd /s C:\TestFolder”(假设 “C:\TestFolder” 为一个包含诸多重要文件和多层子文件夹的非空文件夹),那么 “C:\TestFolder” 这个文件夹整体,连同其下的所有文件、各个层级的子文件夹都会被即刻删除,不会有额外的提示让你确认里面具体的内容情况,所以在使用该命令操作前,一定要再三确认该文件夹确实是需要删除的内容,并且提前做好重要数据的备份工作,以防数据丢失造成不必要的损失。
另外,如果想要在删除非空文件夹时显示确认提示信息,还可以搭配 “/q” 参数(即 “rd /s/q [文件夹名称]”),“/q” 表示 “quiet”,也就是安静模式,执行时不会询问是否确认删除,会直接按照指令删除文件夹及其内容,进一步强化了谨慎使用的必要性,通常在编写一些自动化脚本去清理特定的、确定无用的文件夹等场景下可能会用到,但更要确保整个操作逻辑的准确性,避免因脚本编写失误等情况引发误删问题。
copy、xcopy 与 move:
copy 命令用于复制文件,基本格式为 “copy [源文件路径] [目标文件路径]”。例如,“copy C:\Users\test.txt C:\Backup\test.txt” 可以将位于 “C:\Users” 目录下的 “test.txt” 文件复制到 “C:\Backup” 目录中。它还可以使用通配符进行批量复制,如 “copy C:\Images*.jpg D:\Pictures” 能把 “C:\Images” 目录下所有的 JPG 格式图片文件复制到 “D:\Pictures” 目录里。不过,“copy” 命令在复制文件夹时,需要逐个指定文件夹内的文件进行复制,相对麻烦一些。
xcopy 是功能更强大的复制命令,除了能像 “copy” 一样复制文件外,还可以复制整个文件夹及其内容,包括子文件夹等。格式为 “xcopy [源文件或文件夹路径] [目标文件或文件夹路径] [参数选项]”。例如,“xcopy C:\SourceFolder D:\TargetFolder /s/e”,“/s” 参数表示复制非空文件夹及其子文件夹,“/e” 参数用于复制空文件夹,使用这两个参数组合能完整地将 “C:\SourceFolder” 及其包含的所有内容复制到 “D:\TargetFolder” 中,常用于备份数据或迁移文件夹结构等场景。
move 命令则兼具移动(即剪切粘贴)和重命名文件或文件夹的功能。例如,“move C:\Temp\file.txt C:\NewLocation\file.txt” 会将文件从原位置移动到新位置;而 “move C:\OldFolderName C:\NewFolderName” 可以对文件夹进行重命名操作,把 “C:\OldFolderName” 重命名为 “C:\NewFolderName”。使用时要注意,如果目标位置已经存在同名文件或文件夹,会直接覆盖,所以操作前需确认是否有重要数据以免丢失。
del 和 erase:这两个命令都用于删除文件,功能基本相似,格式为 “del [文件路径]” 或 “erase [文件路径]”。例如,“del C:\Temp\unwanted.txt” 会删除指定的文件。若要删除文件夹,需要先确保文件夹是空的(或者配合前面提到的 “rd” 命令来删除非空文件夹),并且可以使用通配符进行批量删除,如 “del C:\Logs*.log” 能删除 “C:\Logs” 目录下所有的日志文件,但这种批量删除操作要格外小心,避免误删重要数据。
进程管理命令:
taskkill:用于终止正在运行的进程,格式为 “taskkill [参数选项] [进程名称或 PID]”。例如,已知某个进程的 PID 为 1234,想要终止它,可以使用 “taskkill /PID 1234” 命令;如果只知道进程名称,比如要关闭 “notepad.exe”(记事本程序)进程,可以使用 “taskkill /IM notepad.exe/F”,“/IM” 表示指定进程的映像名称,“/F” 参数表示强制终止进程(有些进程可能无法正常关闭时,使用该参数可强制结束)。但要注意,强制终止进程可能会导致数据丢失或程序异常,所以在操作前最好先尝试正常关闭进程。
start:可以启动一个新的程序或命令,格式为 “start [程序路径或命令]”。例如,“start C:\Program Files\Internet Explorer\iexplore.exe” 能启动 Internet Explorer 浏览器;也可以用于启动一些系统自带的工具或命令,像 “start cmd” 会打开一个新的命令提示符窗口,方便在不同的命令行环境下进行操作。
网络相关命令:
ping:前面已经提到过它基于 ICMP 协议用于测试与其他主机的网络连通性,基本格式为 “ping [目标 IP 地址或域名]”。除了常规的查看是否能连通外,还可以通过观察返回的时间(表示数据包往返的延迟情况)以及丢包率(若有数据包丢失,反映网络的稳定性)等信息来初步判断网络质量。例如,在排查网络故障时,先通过 “ping” 命令测试本地网关的连通性,若不通,可能是本地网络连接出现问题;若通,再去测试外部域名的连通性,逐步排查故障点所在位置。
ipconfig:用于查看和配置网络接口的 IP 地址、子网掩码、默认网关、DNS 服务器等网络配置信息。常用的参数有 “ipconfig /all”,使用该参数能显示所有网络适配器(包括有线网卡、无线网卡等)更详细的配置信息,比如 MAC 地址、DHCP 服务器地址(如果是通过 DHCP 获取 IP 地址的情况)等内容,是网络配置和故障排查时必不可少的命令之一。另外,在一些需要手动配置网络参数的场景下,也可以结合其他命令(如 “netsh” 命令等),依据 “ipconfig” 查看的现有配置情况进行相应的修改操作。
磁盘管理命令:
chkdsk:用于检查磁盘的文件系统完整性并尝试修复发现的问题,格式为 “chkdsk [磁盘盘符] [参数选项]”。例如,“chkdsk C: /f” 会检查 C 盘的文件系统,如果发现错误,会尝试自动修复(“/f” 参数表示修复功能)。磁盘在使用过程中可能会出现文件系统损坏、坏扇区等问题,导致文件丢失、系统不稳定等情况,定期运行 “chkdsk” 命令(尤其是在出现磁盘相关异常时)可以有效维护磁盘的健康状态,保障数据的安全性和系统的正常运行。
diskpart:这是一个功能强大的磁盘分区管理命令行工具,通过它可以创建、删除、扩展、收缩磁盘分区,还能对磁盘进行格式化等操作。进入 “diskpart” 命令环境后(直接输入 “diskpart” 命令回车即可进入),可以使用一系列子命令来操作磁盘,如 “list disk” 用于列出系统中所有的磁盘设备,“select disk [磁盘编号]” 用于选择要操作的磁盘,“create partition primary [分区大小]” 可以创建一个指定大小的主分区等。不过,由于这些操作涉及磁盘数据的重大改变,使用时一定要谨慎,提前备份好重要数据,防止误操作导致数据丢失。
PowerShell:
基本概念与特点:PowerShell 是一种功能强大的脚本语言和命令行环境,它建立在.NET Framework 基础之上,融合了大量用于系统管理、自动化操作以及安全相关的 cmdlet(命令小模块)。与传统的 CMD 相比,PowerShell 具有更强大的对象处理能力、管道操作功能以及对复杂任务的自动化处理能力。它可以方便地与 Windows 操作系统的各个组件、服务以及.NET 类库进行交互,能够实现诸如复杂的文本处理、远程管理(通过远程 PowerShell 功能)、自动化漏洞扫描等多样化的操作,并且在执行命令和脚本时,语法更加灵活、功能更加丰富,是渗透测试人员以及系统管理员等常用的工具之一。
常用 cmdlet 示例及应用场景:
Get-Process:类似于 CMD 中的 “tasklist” 命令,用于获取当前系统中正在运行的进程信息,但返回的是对象形式的结果,可以进一步通过 PowerShell 的各种操作符和方法对这些对象进行筛选、排序、格式化输出等处理。例如,“Get-Process | Where-Object { $_.CPU -gt 50 }” 可以筛选出当前 CPU 使用率大于 50% 的进程,方便快速定位占用大量系统资源的进程,以便进行优化或排查异常情况。
Get-Service:用于获取系统中所有服务的相关信息,包括服务名称、状态、启动类型等内容。可以通过 “Get-Service | Select-Object -Property Name, Status, StartType” 这样的命令组合来选择输出指定的服务属性信息,更清晰地查看服务情况。在服务管理、排查服务相关问题(如查找某个服务无法启动的原因,或者查看是否存在异常的服务状态等)方面有很大的用处。
Get-ChildItem:相当于 CMD 中的 “dir” 命令,用于查看指定目录下的文件和文件夹信息,但它返回的也是对象形式的结果,并且支持更强大的筛选和递归查询功能。例如,“Get-ChildItem -Path C:\Users -Recurse -Filter *.txt” 可以递归地查找 “C:\Users” 目录下所有的文本文件(“-Recurse” 参数表示递归查询,“-Filter” 参数用于指定筛选条件),在文件查找、文件系统分析等场景中应用广泛。
脚本编写基础及安全考量:
脚本结构与语法基础:PowerShell 脚本以.ps1 为扩展名,其基本的脚本结构包括变量定义、函数声明、命令调用等部分。例如,以下是一个简单的 PowerShell 脚本示例,用于输出当前系统的日期和时间:
$date = Get-Date Write-Host "当前日期和时间为:$date"
$date = Get-Date
Write-Host "当前日期和时间为:$date"在这个脚本中,首先使用 “Get-Date” 命令获取当前的日期和时间,并将结果赋值给变量 “$date”,然后通过 “Write-Host” 命令将包含变量的文本信息输出到控制台。PowerShell 脚本支持多种数据类型(如字符串、整数、数组、哈希表等),并且有丰富的运算符(算术运算符、比较运算符、逻辑运算符等)用于进行各种计算和逻辑判断操作,同时可以定义函数来封装可复用的代码块,提高脚本的模块化程度和可读性。
安全相关注意事项:由于 PowerShell 功能强大,也成为了攻击者可能利用的工具之一,所以在使用和管理 PowerShell 时需要考虑诸多安全问题。一方面,要限制 PowerShell 的执行权限,默认情况下,Windows 系统对 PowerShell 脚本的执行有一定的安全策略限制(例如,需要将执行策略设置为适当的级别,从 “Restricted” 禁止执行脚本到 “RemoteSigned” 允许执行本地签名的脚本等不同级别,可通过 “Set-ExecutionPolicy” 命令进行设置),防止恶意脚本被轻易执行;另一方面,在接收和运行来自外部的 PowerShell 脚本时,要确保其来源可靠,并且对脚本内容进行仔细审查,查看是否存在恶意代码(如通过网络下载并执行不明可执行文件、修改关键的系统配置或注册表项等行为),同时,可以利用一些安全工具对 PowerShell 脚本进行静态分析(分析脚本代码本身的安全性)和动态监控(实时监测 PowerShell 脚本的执行情况),增强对 PowerShell 脚本使用的安全防护。
2、命令行工具在安全分析中的应用
信息收集阶段:
系统信息收集:利用 “systeminfo” 命令全面收集目标系统的操作系统版本、补丁情况等信息,结合漏洞数据库(如 CVE 数据库)来判断系统可能存在的已知漏洞,为后续的攻击路径规划提供依据。同时,通过 “Get-ChildItem”(在 PowerShell 中)等命令查看系统关键文件夹(如 “C:\Windows”、“C:\Program Files” 等)下的文件列表,留意是否存在异常的文件或文件夹,比如可疑的可执行文件、隐藏很深的不明目录等情况,这些可能暗示着系统已被植入恶意软件或者存在其他安全隐患。
网络信息收集:运用 “netstat” 和 “ipconfig” 命令了解目标系统的网络连接状态、IP 地址配置以及开放的端口情况,通过分析这些信息判断系统是否存在未经授权的网络访问、异常的端口监听等问题。再结合 “ping” 命令测试与其他关键主机(如网关、重要服务器等)的连通性,绘制出目标系统所处网络环境的基本拓扑结构草图,有助于进一步分析网络中的潜在攻击面和可能的入侵路径。另外,还可以使用 PowerShell 中的相关 cmdlet(如 “Get-NetIPAddress” 等)获取更详细准确的网络配置信息,包括网络接口的 IPv6 地址、网络前缀长度等内容,完善网络信息收集工作。
漏洞探测阶段:
服务漏洞探测:借助 “tasklist”(CMD 中)和 “Get-Process”(PowerShell 中)命令查看系统中正在运行的服务对应的进程情况,确定服务的名称和版本信息(可通过查看进程对应的可执行文件路径等方式大致推断),然后依据已知的服务漏洞情报(如特定版本的 Windows Server 服务存在的安全漏洞等),使用相应的漏洞扫描工具(部分漏洞扫描工具也可通过命令行调用,或者基于命令行收集的信息进一步在图形化工具中进行操作)来检测目标服务是否存在可利用的漏洞。例如,如果发现目标系统运行着某个版本的 IIS 服务,通过查找相关的 CVE 记录,针对性地使用工具探测该版本 IIS 是否存在缓冲区溢出、认证绕过等常见的服务漏洞。
软件漏洞探测:利用命令行工具查看系统中安装的各类软件信息(通过查看 “C:\Program Files” 等软件安装目录下的文件情况,以及在注册表中查找软件的相关注册键值等方式),确定软件的版本和相关配置,再与公开的软件漏洞数据库进行比对,查找可能存在的软件自身漏洞。比如,对于常用的办公软件(如 Microsoft Office 系列)、浏览器软件等,查看其版本是否存在已知的安全漏洞,像 Office 软件曾出现过的宏病毒相关漏洞、浏览器的某些插件漏洞等,这些漏洞都可能被攻击者利用来入侵系统,所以要重点关注并进行针对性的探测工作。
攻击执行与后渗透阶段:
权限提升:在已经获取一定权限进入目标系统后,若要进一步提升权限,可以通过命令行工具查找系统中存在的权限配置漏洞相关线索。例如,在注册表中(可通过 “regedit” 命令打开注册表编辑器,也可使用 PowerShell 中的相关注册表操作命令,如 “Get-ItemProperty” 等来查看注册表键值信息)查看用户权限分配相关的键值,寻找是否存在可利用的提权路径,像某些情况下普通用户对特定注册表项具有写入权限,而该注册表项又关联着系统的高权限操作,攻击者就可以通过修改这些键值来尝试提升自己的权限,获取管理员级别的访问权限,进而能够更深入地控制系统资源和进行后续的恶意操作。
持久化控制:为了实现对目标系统的持久化控制,攻击者常常会利用命令行工具在系统启动项中添加恶意的可执行文件路径,使其在系统每次启动时自动运行。在 Windows 中,可以通过修改注册表(如 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” 和 “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run” 等关键位置的键值)或者使用命令行工具(如在 CMD 中利用 “copy” 命令将恶意文件复制到合适的启动文件夹中,或者在 PowerShell 中通过脚本操作来添加启动项等方式)来达到这个目的。同时,还可以利用系统自带的计划任务(可通过 “schtasks” 命令进行管理和创建计划任务),设置定期执行恶意程序的任务计划,保证恶意软件能持续在系统中运行,不易被普通用户发现,从而实现长期对目标系统的控制和数据窃取等恶意行为。
防御与检测阶段:
异常行为监测:系统管理员可以通过编写 PowerShell 脚本或者利用命令行工具的定期执行机制(如使用 Windows 自带的 “任务计划程序” 结合命令行命令),实时监测系统中的异常行为。例如,通过定时运行 “tasklist” 和 “Get-Process” 命令对比前后两次获取的进程信息,查看是否有新增的可疑进程出现(可通过比对进程名称、可执行文件路径等方式判断);或者使用 “netstat” 命令监测网络连接状态,发现是否存在异常的外部连接或者未授权的端口监听情况,一旦检测到异常行为,及时触发警报机制(如发送邮件通知管理员、在系统日志中记录详细情况等),以便快速采取应对措施,防止安全事件进一步扩大。
基于命令行的防火墙规则管理:可以利用 “netsh” 命令来配置和管理 Windows 防火墙规则,强化网络访问控制策略。例如,通过 “netsh advfirewall firewall add rule” 命令添加新的防火墙规则,像 “netsh advfirewall firewall add rule name="BlockSuspiciousIP" dir=in action=block remoteip=192.168.1.100” 这样的语句,能够创建一条名为 “BlockSuspiciousIP” 的入站规则,阻止来自 IP 地址为 192.168.1.100 的外部连接,以此来应对检测到的可疑 IP 的访问尝试。同时,定期使用 “netsh advfirewall firewall show rule” 命令查看现有防火墙规则的执行情况,确保规则正常生效且符合当前的安全策略需求。若发现有不符合安全策略的开放端口或者过度宽松的访问规则,可及时通过 “netsh advfirewall firewall delete rule” 命令删除相应的规则或者修改规则参数(如修改规则适用的端口范围、协议类型等),从而收紧网络安全防线,防止外部恶意攻击通过网络端口入侵系统。
用户权限审核与加固:借助命令行工具结合脚本语言(如 PowerShell)对系统中的用户权限进行审核和加固操作。在 PowerShell 中,可通过 “Get-LocalGroupMember” 等 cmdlet 获取本地用户组的成员信息,查看是否存在异常的用户被添加到了高权限用户组(如 Administrators 组)中,一旦发现可疑情况,进一步通过命令行操作移除相关用户或者调整其所在的用户组,确保权限分配符合最小权限原则。另外,通过查看注册表中与用户权限相关的键值(如使用 “reg query” 命令查看关键位置的注册表项,例如 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa” 下涉及账户策略等的键值),确认权限配置是否被恶意篡改,若有异常修改,可依据备份的注册表文件或者按照正确的权限配置标准,通过命令行或脚本进行恢复和重新设置,强化系统的用户权限安全管理,防止攻击者利用权限漏洞提升权限进而控制系统资源。
安全策略更新自动化:随着网络安全威胁形势的不断变化以及系统自身的更新升级,安全策略需要适时进行更新。可以编写 PowerShell 脚本结合任务计划程序,实现安全策略更新的自动化流程。例如,当微软发布新的安全补丁,需要及时调整 Windows 系统的更新策略(如从定期检查更新改为立即下载并安装重要更新),可通过脚本调用 “wuauclt”(Windows Update 自动更新客户端命令行工具)命令来实现,像 “wuauclt /detectnow” 用于立即检测是否有可用更新,“wuauclt /downloadupdate” 用于下载更新,“wuauclt /installupdate” 用于安装更新等,将这些命令按顺序编写在 PowerShell 脚本中,并设置任务计划程序定期(如每周固定时间)执行该脚本,确保系统能及时获取最新的安全防护能力。类似地,对于其他安全策略方面(如前面提到的防火墙规则、用户权限等根据企业内部安全策略文档要求进行的动态调整),都可以通过编写自动化脚本并借助任务计划程序来高效、准确地完成更新操作,减少人工操作可能带来的失误,保证系统始终处于相对安全的状态。
入侵检测与应急响应:
文件完整性监控:通过命令行工具实现对关键系统文件和重要应用程序文件的完整性监控,这对于及时发现入侵行为至关重要。例如,利用工具(如 Windows 自带的 “certutil” 命令结合哈希算法相关功能,或者借助第三方的命令行文件哈希计算工具)计算关键文件(如位于 “C:\Windows\System32” 文件夹下的重要可执行文件、动态链接库文件等)的哈希值,并将这些哈希值保存到一个安全的数据库(可以是本地的文本文件或者专门的配置管理数据库等)中。然后定期(通过任务计划程序定时运行相应的命令行脚本)重新计算这些文件的哈希值,对比前后的哈希值是否一致,如果发现哈希值发生变化,很可能意味着文件被篡改,有可能是遭到了恶意入侵,此时可以触发警报机制,通知管理员进一步排查文件变化原因,判断是否是正常的系统更新或者被攻击者植入了恶意代码等情况。
恶意软件检测与清除辅助:在怀疑系统中存在恶意软件时,命令行工具可以辅助进行检测和清除工作。一方面,一些反病毒软件提供了命令行接口,管理员可以通过命令行调用反病毒软件的扫描、查杀功能,比如某些知名的杀毒软件可以通过类似 “avscan.exe/fullscan”(这里只是示例格式,实际格式因不同软件而异)的命令来对整个系统进行全面的病毒扫描,快速定位可能存在的恶意软件所在位置。另一方面,利用命令行工具查找系统中异常的进程、文件或网络连接等线索,辅助判断恶意软件的行为特征。例如,结合前面提到的 “tasklist”“Get-Process”“netstat” 等命令收集相关信息,若发现某个进程持续占用大量网络带宽向外发送数据,且对应的可执行文件路径位于一个异常的、非正规软件安装目录下,那么该进程可能与恶意软件相关,可进一步通过命令行(如使用 “taskkill” 命令强制终止该可疑进程)或者结合其他专业的恶意软件清除工具来处理,阻止恶意软件的进一步传播和破坏行为。
系统恢复与备份操作:当发生安全事件导致系统出现故障或者数据丢失等情况时,命令行工具可以协助进行系统恢复和备份相关的操作。对于备份,可使用 “robocopy” 命令(它是一个功能强大且灵活的文件复制工具,支持多种复制选项、过滤条件以及日志记录功能)来备份重要的系统文件、用户数据文件夹等内容,例如 “robocopy C:\Users D:\Backup /E/LOG:C:\Backup\backup.log”,这个命令可以将 “C:\Users” 目录下的所有内容(包括子文件夹等,“/E” 参数实现此功能)备份到 “D:\Backup” 目录,并将备份过程记录到 “C:\Backup\backup.log” 文件中,方便后续查看备份情况以及进行故障排查等工作。而在系统恢复方面,如果之前创建了系统镜像备份(可通过 Windows 自带的备份功能或者第三方备份工具制作),可以在命令行下利用相应的恢复工具(如 DISM 命令在一定程度上可用于修复和还原系统镜像等操作),按照特定的步骤和参数要求进行系统恢复,尽快使系统恢复到正常可用的状态,减少因安全事件造成的损失和业务中断时间。
日志分析与审计追踪:
日志收集与整合:Windows 系统本身会生成各类丰富的日志文件(如系统日志、应用程序日志、安全日志等),记录着系统运行过程中的各种事件信息,这些日志对于审计追踪安全事件有着关键作用。可以通过命令行工具将分散在不同位置的日志文件收集整合到一起,方便后续统一分析。例如,使用 “wevtutil” 命令,它可以用于查询、导出、归档等操作与 Windows 事件日志相关的工作。像 “wevtutil epl System C:\Logs\System.evtx” 命令可以将系统日志导出到 “C:\Logs” 目录下的 “System.evtx” 文件中,对于应用程序日志和安全日志等也可以采用类似的操作,将所有相关日志文件集中到一个指定的文件夹中,便于集中管理和分析,避免遗漏重要的事件记录信息。
日志分析与异常排查:收集好日志文件后,通过命令行工具结合文本处理命令(如在 PowerShell 中使用 “Select-String” 等 cmdlet,或者在 CMD 中使用 “findstr” 等命令)以及一些简单的脚本逻辑来分析日志内容,查找是否存在异常的事件记录。例如,在安全日志中通过 “Select-String” 命令查找包含 “Failed Login”(表示登录失败)等关键词的记录,统计登录失败的次数、来源 IP 地址等信息,判断是否存在暴力破解登录密码的可疑行为;或者在系统日志中查找是否有频繁的服务启动失败、文件系统错误等异常记录,通过分析这些异常情况出现的时间、相关的进程或服务等信息,追踪可能的安全隐患源头,进而采取针对性的措施进行修复和强化安全防护。同时,根据企业内部的审计策略要求(如规定对特定类型的操作需要进行详细审计记录并定期查看分析),可以编写自动化的日志分析脚本,定期运行并生成审计报告,向相关管理人员汇报系统的安全状况以及是否存在违反安全策略的行为,实现持续的安全审计和监控机制。
长期审计追踪与合规性保障:在一些受监管的行业(如金融、医疗、政府等领域),企业需要遵循严格的法规和标准要求,确保系统的安全性和合规性,而日志记录与分析是其中重要的一环。通过命令行工具长期收集、整理和分析系统日志,建立起完整的审计追踪体系,能够证明企业在网络安全管理方面的工作情况,满足监管部门的检查要求。例如,对于数据访问权限的审计,可通过分析日志中记录的用户对敏感数据文件的访问操作(包括访问时间、访问方式、是否成功等详细信息),确保只有授权的用户在规定的范围内进行了数据访问,防止数据泄露等违规行为发生。并且,在发生安全事件需要进行调查或者应对合规审计时,完善的日志分析资料可以作为有力的证据,展示企业在安全防护和事件响应等方面采取的措施以及系统的实际运行情况,降低因不合规而面临的风险和处罚。
常见端口以及对应服务名称:
| 20、21 | FTP | 文件传输协议,20 端口通常用于数据传输,21 端口用于命令传输,可进行文件的上传、下载等操作,存在允许匿名的上传下载、爆破、嗅探、远程执行等风险 |
| 22 | SSH | 安全外壳协议,用于在网络中安全地远程登录和执行命令,常用于 Linux 远程管理 |
| 23 | Telnet | 用于远程登录到远程主机并执行命令,但因是明文传输,安全性较低,逐渐被 SSH 取代 |
| 25 | SMTP | 简单邮件传输协议,可用于邮件伪造、查询邮件用户信息等 |
| 53 | DNS | 域名系统,用于将域名解析为与之对应的 IP 地址,存在允许区域传送、DNS 劫持、缓存投毒、欺骗等风险 |
| 69 | TFTP | 简单文件传输协议,无认证,可尝试下载目标机的各类重要配置文件 |
| 80 8080 8081 8083 8089 8440 8450 等 |
HTTP 相关 | 各种常用的 Web 服务端口,可用于访问网站,存在各种 Web 服务漏洞利用的可能,如常见的 Web 框架漏洞、Web 中间件漏洞等 |
| 110 | POP3 | 邮局协议版本 3,用于从邮件服务器接收电子邮件,可尝试爆破、嗅探 |
| 135 | RPC | 远程过程调用,Windows 系统中常被用于分布式计算,存在 RPC 漏洞利用的风险 |
| 137、139、445 | Samba(SMB) | 实现 Windows 和 Linux 间文件共享,通常是明文传输,可尝试爆破以及利用 SMB 自身的各种远程执行类漏洞,如 ms08-067、ms17-010 等 |
| 143 | IMAP | Internet 消息访问协议,用于从邮件服务器接收和管理电子邮件,可尝试爆破 |
| 161 | SNMP | 简单网络管理协议,用于管理和监控网络设备,存在爆破默认团队字符串、搜集目标内网信息的风险 |
| 389 | LDAP | 轻量级目录访问协议,用于访问和维护分布式目录信息服务,存在 LDAP 注入、允许匿名访问、弱口令等风险 |
| 443 | HTTPS | 安全超文本传输协议,通过加密通信保护 Web 数据传输,但仍可能存在 SSL 心脏滴血等漏洞 |
| 1433 | MSSQL | Microsoft SQL Server 数据库管理系统的默认端口,存在数据库注入、提权、sa 弱口令、爆破等风险 |
| 1521 | Oracle | Oracle 数据库管理系统的默认端口,存在 tns 爆破、注入、弹 shell 等风险 |
| 3306 | MySQL | MySQL 数据库管理系统的默认端口,存在数据库注入、提权、爆破等风险 |
| 5432 | PostgreSQL | PostgreSQL 数据库管理系统的默认端口,存在爆破、注入、弱口令等风险 |
| 5900、5901、5902 | VNC | VNC 远程桌面管理工具使用的端口,存在弱口令爆破的风险 |
| 6379 | Redis | 用于客户端与 Redis 服务器之间的通信,存在未授权访问、弱口令爆破等风险 |
| 7001、7002 | WebLogic | WebLogic 应用服务器的默认端口,存在 Java 反序列化、弱口令等风险 |
| 9200、9300 | Elasticsearch | 一种搜索引擎服务,存在远程执行漏洞 |
| 27017、27018 | MongoDB | MongoDB 数据库的默认端口,存在爆破、未授权访问等风险 |
| 50000 | SAP | 企业管理软件 SAP 的相关服务端口,存在命令执行等风险 |
| 50070、50030 | Hadoop | Hadoop 分布式系统的默认端口,存在未授权访问等风险 |
| 1194 | OpenVPN | 虚拟专用网络服务使用的端口,可能存在钓鱼 VPN 账号进入内网的风险 |
| 15001 | ISPManager | 主机控制面板的默认端口,存在弱口令风险 |
| 2181 | Zookeeper | 分布式应用程序协调服务使用的端口,存在未授权访问风险 |
| 3690 | SVN | 版本控制系统 Subversion 的默认端口,存在 SVN 泄露、未授权访问等风险 |
| 8069 | Zabbix | 监控系统 Zabbix 的默认端口,存在远程执行、SQL 注入等风险 |
| 9080 - 9081、9090 | WebSphere | WebSphere 应用服务器的控制台默认端口,存在 Java 反序列化、弱口令等风险 |
| 10000 | Virtualmin/Webmin | 服务器虚拟主机管理系统的默认端口,存在弱口令风险 |
| 11211 | Memcache | 分布式内存缓存系统的默认端口,存在未授权访问风险 |