面对网络攻击,安全团队需要迅速定位攻击源头,分析攻击手段,并采取有效的防御措施。65条在应急响应中使用的高效命令,这些命令涵盖了信息收集、系统排查、网络流量分析等多个方面,仅供新手参考学习。
一、信息收集类命令
-
systeminfo
-
• 用途:查看系统信息,包括操作系统版本、系统架构、物理内存大小等。
-
• 使用场景:在渗透测试中,了解目标系统的基本信息有助于制定攻击策略。
-
-
net user
-
• 用途:查看或管理用户账户。
-
• 使用场景:用于枚举目标系统中的用户账户,分析账户权限,寻找潜在的攻击目标。
-
-
ipconfig /all
-
• 用途:显示本机的IP配置信息,包括IP地址、子网掩码、默认网关等。
-
• 使用场景:在网络渗透测试中,了解目标主机的网络配置是进行后续攻击的基础。
-
-
route print
-
• 用途:显示IP路由表信息。
-
• 使用场景:分析目标主机的路由信息,有助于确定攻击路径。
-
-
netstat -abon
-
• 用途:显示网络连接、路由表和网络接口统计信息。
-
• 使用场景:用于监控网络连接状态,发现异常连接,分析攻击行为。
-
-
nbtstat -c
-
• 用途:显示NBT(NetBIOS over TCP/IP)协议统计信息和当前连接。
-
• 使用场景:用于分析NetBIOS通信,发现潜在的安全漏洞。
-
-
arp -a
-
• 用途:显示ARP(地址解析协议)表信息。
-
• 使用场景:用于检测ARP欺骗攻击,分析网络中的ARP条目。
-
-
net time /domain
-
• 用途:查询域中计算机的当前时间。
-
• 使用场景:在域渗透测试中,了解域中计算机的时间同步情况。
-
-
dsquery computer
-
• 用途:查询Active Directory中的计算机对象。
-
• 使用场景:在域渗透测试中,枚举域中的计算机对象,分析目标系统。
-
-
.\getpassword
-
• 用途:抓取认证信息(假设为某工具或脚本)。
-
• 使用场景:用于获取目标系统中的密码信息,辅助渗透测试。
-
-
net user pentest123456/add
-
• 用途:添加新用户。
-
• 使用场景:在渗透测试中,添加具有特定权限的用户,以便进行后续操作。
-
-
net localgroup administrators pentest/add
-
• 用途:将用户添加到管理员组。
-
• 使用场景:提升攻击账户的权限,以便执行更高级别的操作。
-
-
netsh interface ip set address name="本地连接" source=static addr=192.168.0.106 mask=255.255.255.0
-
• 用途:设置静态IP地址。
-
• 使用场景:在网络渗透测试中,修改目标主机的IP配置,以便进行网络攻击或绕过安全策略。
-
-
netsh interface ip set dns name="本地连接" source=static addr=114.114.114.114 register=PRIMARY
-
• 用途:设置静态DNS服务器地址。
-
• 使用场景:修改目标主机的DNS配置,以便进行DNS劫持或重定向攻击。
-
-
netsh interface portproxy add v4tov4 listenport=3340 listenaddress=a.b.c.d connectport=3389 connectaddress=w.x.y.z
-
• 用途:设置端口转发规则。
-
• 使用场景:在渗透测试中,通过端口转发实现远程访问目标主机的特定服务。
-
-
net use \ip\ipc$ [password] /user:[username]
-
• 用途:建立IPC$连接。
-
• 使用场景:在渗透测试中,通过IPC$连接访问目标主机的共享资源。
-
-
wmic os get
-
• 用途:使用WMIC命令获取操作系统信息。
-
• 使用场景:在渗透测试中,了解目标系统的操作系统版本和配置。
-
-
wmic cpu get
-
• 用途:使用WMIC命令获取CPU信息。
-
• 使用场景:分析目标系统的硬件配置,评估攻击难度。
-
-
wmic nteventlog
-
• 用途:使用WMIC命令获取系统事件日志信息。
-
• 使用场景:在渗透测试中,分析系统日志,发现潜在的安全事件。
-
-
wmic computersystem get domain
-
• 用途:使用WMIC命令获取计算机所属的域信息。
-
• 使用场景:在域渗透测试中,确定目标计算机是否属于某个域。
-
二、系统排查类命令
-
tasklist
-
• 用途:显示当前运行的进程列表。
-
• 使用场景:在渗透测试中,用于监控和分析目标系统的进程状态,发现异常进程。
-
-
taskkill /f /t /im evil.exe
-
• 用途:强制终止指定进程。
-
• 使用场景:在渗透测试中,用于终止恶意进程,防止其继续执行攻击行为。
-
-
wmic process list full
-
• 用途:使用WMIC命令获取进程的详细信息。
-
• 使用场景:在渗透测试中,深入了解目标系统的进程状态,分析异常行为。
-
-
wmic process call create "C:\Program Files\Tencent\QQ\QQ.exe"
-
• 用途:使用WMIC命令创建新进程。
-
• 使用场景:在渗透测试中,通过创建新进程执行恶意代码或工具。
-
-
wmic service list full
-
• 用途:使用WMIC命令获取服务的详细信息。
-
• 使用场景:在渗透测试中,分析目标系统的服务状态,发现潜在的安全漏洞。
-
-
wmic service where name="xxx" call startservice
-
• 用途:使用WMIC命令启动指定服务。
-
• 使用场景:在渗透测试中,通过启动服务恢复目标系统的某些功能或执行恶意操作。
-
-
wmic useraccount list full
-
• 用途:使用WMIC命令获取用户账户的详细信息。
-
• 使用场景:在渗透测试中,分析用户账户的权限和配置,寻找潜在的攻击目标。
-
-
wmic sysaccount list full
-
• 用途:使用WMIC命令获取系统账户的详细信息。
-
• 使用场景:深入了解目标系统的账户体系,评估攻击难度。
-
-
wmic share list
-
• 用途:使用WMIC命令获取共享资源的列表。
-
• 使用场景:在渗透测试中,分析目标系统的共享资源,寻找潜在的安全漏洞。
-
-
wmic startup list
-
• 用途:使用WMIC命令获取启动项列表。
-
• 使用场景:在渗透测试中,分析目标系统的启动项,发现潜在的恶意软件或后门。
-
-
netstat -napt
-
• 用途:显示网络连接、监听端口及进程信息。
-
• 使用场景:用于监控网络连接状态,发现异常连接和监听端口,分析攻击行为。
-
-
ps -aux
-
• 用途:显示当前系统中的所有进程信息。
-
• 使用场景:在Linux系统渗透测试中,用于监控和分析进程状态,发现异常行为。
-
-
ps -ef
-
• 用途:以完整格式显示当前系统中的进程信息。
-
• 使用场景:深入分析进程状态,结合端口排查结果确认异常进程。
-
-
crontab -l
-
• 用途:列出当前用户的计划任务。
-
• 使用场景:在渗透测试中,分析计划任务,发现潜在的恶意软件或后门。
-
-
cat /etc/passwd
-
• 用途:查看系统中的用户账户信息。
-
• 使用场景:在Linux系统渗透测试中,分析用户账户信息,寻找潜在的攻击目标。
-
-
cat /etc/shadow
-
• 用途:查看系统中的用户账户密码哈希值(需root权限)。
-
• 使用场景:尝试破解用户密码,获取系统访问权限。
-
-
find / -name "*.so"
-
• 用途:在系统中搜索指定名称的文件(以.so结尾的共享库文件为例)。
-
• 使用场景:在Linux系统渗透测试中,搜索潜在的恶意软件或后门文件。
-
-
lsof -i :port
-
• 用途:列出监听指定端口的进程信息。
-
• 使用场景:结合netstat命令,深入分析网络连接状态,确认异常进程。
-
-
strings /path/to/binary
-
• 用途:提取二进制文件中的可打印字符串。
-
• 使用场景:分析恶意软件或后门文件中的关键信息,如IP地址、域名等。
-
-
strings | grep "keyword"
-
• 用途:在提取的字符串中搜索指定关键字。
-
• 使用场景:快速定位恶意软件或后门文件中的关键信息。
-
-
md5sum /path/to/file
-
• 用途:计算文件的MD5哈希值。
-
• 使用场景:验证文件的完整性,检测是否被篡改。
-
-
sha256sum /path/to/file
-
• 用途:计算文件的SHA-256哈希值。
-
• 使用场景:与MD5类似,但提供更高的安全性。
-
-
rpm -qa | grep "keyword"
-
• 用途:在安装的RPM包中搜索指定关键字。
-
• 使用场景:在Linux系统渗透测试中,查找潜在的恶意软件或后门包。
-
-
dpkg -l | grep "keyword"
-
• 用途:在安装的Debian包中搜索指定关键字。
-
• 使用场景:与rpm命令类似,但适用于Debian系Linux系统。
-
-
chkconfig --list
-
• 用途:列出所有服务的启动状态。
-
• 使用场景:分析服务的启动配置,发现潜在的恶意服务。
-
-
service --status-all
-
• 用途:显示所有服务的运行状态(适用于某些Linux发行版)。
-
• 使用场景:与chkconfig命令类似,但提供更直观的服务状态信息。
-
-
systemctl list-units --type=service
-
• 用途:列出所有systemd管理的服务状态。
-
• 使用场景:在采用systemd的Linux系统中,分析服务的运行状态。
-
-
journalctl -xe
-
• 用途:显示systemd日志信息。
-
• 使用场景:分析系统日志,发现潜在的安全事件或异常行为。
-
-
auditctl -l
-
• 用途:列出当前的审计规则。
-
• 使用场景:在配置有auditd的系统中,分析审计规则,了解系统的安全监控策略。
-
-
ausearch -k keyword
-
• 用途:在审计日志中搜索指定关键字。
-
• 使用场景:快速定位与关键字相关的安全事件或异常行为。
-
三、网络流量分析类命令
-
tcpdump -i eth0
-
• 用途:捕获指定网络接口上的网络流量。
-
• 使用场景:在网络渗透测试中,捕获并分析网络流量,发现异常通信行为。
-
-
tcpdump -w capture.pcap
-
• 用途:将捕获的网络流量保存到文件中。
-
• 使用场景:便于后续使用Wireshark等工具进行深入分析。
-
-
tcpdump -r capture.pcap
-
• 用途:读取并分析之前保存的网络流量文件。
-
• 使用场景:回顾和分析历史网络流量数据。
-
-
tshark -i eth0 -f "port 80"
-
• 用途:使用Wireshark的命令行版本(tshark)捕获指定端口上的网络流量。
-
• 使用场景:针对特定端口进行网络流量捕获和分析。
-
-
nmap -sT -O target
-
• 用途:进行TCP连接扫描和操作系统检测。
-
• 使用场景:在渗透测试中,快速发现目标主机的开放端口和操作系统类型。
-
-
nmap -sS -A target
-
• 用途:进行SYN扫描和高级服务检测。
-
• 使用场景:更隐蔽地扫描目标主机的开放端口和服务,减少被检测的风险。
-
-
nmap --script=http- target*
-
• 用途:执行HTTP相关的Nmap脚本扫描。
-
• 使用场景:发现Web服务器上的漏洞和敏感信息。
-
-
zaproxy -daemon -port 8080
-
• 用途:启动OWASP ZAP代理服务器。
-
• 使用场景:在Web渗透测试中,作为中间人代理捕获和分析HTTP/HTTPS流量。
-
-
mitmproxy
-
• 用途:启动交互式中间人代理。
-
• 使用场景:手动拦截、修改和重放网络流量,进行深入的Web渗透测试。
-
-
tcpflow -r capture.pcap
-
• 用途:从网络流量文件中提取TCP会话数据。
-
• 使用场景:分析TCP会话内容,发现敏感信息或恶意行为。
-
-
iftop
-
• 用途:实时显示网络接口上的流量信息。
-
• 使用场景:监控网络接口的实时流量,发现异常通信行为。
-
-
nload
-
• 用途:显示网络接口的入站和出站流量。
-
• 使用场景:以图形化方式监控网络接口的流量情况。
-
-
bmon
-
• 用途:显示带宽使用情况。
-
• 使用场景:综合分析网络接口的带宽使用情况,发现潜在的网络瓶颈或攻击行为。
-
-
iptables -L -n -v
-
• 用途:列出iptables防火墙规则及流量统计信息。
-
• 使用场景:分析防火墙配置,了解系统的网络访问控制策略。
-
-
pfctl -s rules
-
• 用途:列出PF防火墙规则(适用于BSD系统)。
-
• 使用场景:与iptables类似,但适用于BSD系统。
-
原文 :
实战利器!65条高效应急响应命令汇总!
https://mp.weixin.qq.com/s/Wt-c7v1srODHKtKYLHnadA
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
