面对网络攻击,安全团队需要迅速定位攻击源头,分析攻击手段,并采取有效的防御措施。65条在应急响应中使用的高效命令,这些命令涵盖了信息收集、系统排查、网络流量分析等多个方面,仅供新手参考学习。
一、信息收集类命令
1. systeminfo
2. net user
• 用途:查看或管理用户账户。
• 使用场景:用于枚举目标系统中的用户账户,分析账户权限,寻找潜在的攻击目标。
3. ipconfig /all
• 用途:显示本机的IP配置信息,包括IP地址、子网掩码、默认网关等。
• 使用场景:在网络渗透测试中,了解目标主机的网络配置是进行后续攻击的基础。
4. route print
• 用途:显示IP路由表信息。
• 使用场景:分析目标主机的路由信息,有助于确定攻击路径。
5. netstat -abon
• 用途:显示网络连接、路由表和网络接口统计信息。
• 使用场景:用于监控网络连接状态,发现异常连接,分析攻击行为。
6. nbtstat -c
• 用途:显示NBT(NetBIOS over TCP/IP)协议统计信息和当前连接。
• 使用场景:用于分析NetBIOS通信,发现潜在的安全漏洞。
7. arp -a
• 用途:显示ARP(地址解析协议)表信息。
• 使用场景:用于检测ARP欺骗攻击,分析网络中的ARP条目。
8. net time /domain
• 用途:查询域中计算机的当前时间。
• 使用场景:在域渗透测试中,了解域中计算机的时间同步情况。
9. dsquery computer
• 用途:查询Active Directory中的计算机对象。
• 使用场景:在域渗透测试中,枚举域中的计算机对象,分析目标系统。
10. .getpassword
• 用途:抓取认证信息(假设为某工具或脚本)。
• 使用场景:用于获取目标系统中的密码信息,辅助渗透测试。
11. net user pentest123456/add
• 用途:添加新用户。
• 使用场景:在渗透测试中,添加具有特定权限的用户,以便进行后续操作。
12. net localgroup administrators pentest/add
• 用途:将用户添加到管理员组。
• 使用场景:提升攻击账户的权限,以便执行更高级别的操作。
13. netsh interface ip set address name="本地连接" source=static addr=192.168.0.106 mask=255.255.255.0
• 用途:设置静态IP地址。
• 使用场景:在网络渗透测试中,修改目标主机的IP配置,以便进行网络攻击或绕过安全策略。
14. netsh interface ip set dns name="本地连接" source=static addr=114.114.114.114 register=PRIMARY
• 用途:设置静态DNS服务器地址。
• 使用场景:修改目标主机的DNS配置,以便进行DNS劫持或重定向攻击。
15. netsh interface portproxy add v4tov4 listenport=3340 listenaddress=a.b.c.d connectport=3389 connectaddress=w.x.y.z
• 用途:设置端口转发规则。
• 使用场景:在渗透测试中,通过端口转发实现远程访问目标主机的特定服务。
16. net use ipipc$ [password] /user:[username]
• 用途:建立IPC$连接。
• 使用场景:在渗透测试中,通过IPC$连接访问目标主机的共享资源。
17. wmic os get
• 用途:使用WMIC命令获取操作系统信息。
• 使用场景:在渗透测试中,了解目标系统的操作系统版本和配置。
18. wmic cpu get
• 用途:使用WMIC命令获取CPU信息。
• 使用场景:分析目标系统的硬件配置,评估攻击难度。
19. wmic nteventlog
• 用途:使用WMIC命令获取系统事件日志信息。
• 使用场景:在渗透测试中,分析系统日志,发现潜在的安全事件。
20. wmic computersystem get domain
• 用途:使用WMIC命令获取计算机所属的域信息。
• 使用场景:在域渗透测试中,确定目标计算机是否属于某个域。
二、系统排查类命令
21. tasklist
• 用途:显示当前运行的进程列表。
• 使用场景:在渗透测试中,用于监控和分析目标系统的进程状态,发现异常进程。
22. taskkill /f /t /im evil.exe
• 用途:强制终止指定进程。
• 使用场景:在渗透测试中,用于终止恶意进程,防止其继续执行攻击行为。
23. wmic process list full
• 用途:使用WMIC命令获取进程的详细信息。
• 使用场景:在渗透测试中,深入了解目标系统的进程状态,分析异常行为。
24. wmic process call create "C:Program FilesTencentQQQQ.exe"
• 用途:使用WMIC命令创建新进程。
• 使用场景:在渗透测试中,通过创建新进程执行恶意代码或工具。
25. wmic service list full
• 用途:使用WMIC命令获取服务的详细信息。
• 使用场景:在渗透测试中,分析目标系统的服务状态,发现潜在的安全漏洞。
26. wmic service where name="xxx" call startservice
• 用途:使用WMIC命令启动指定服务。
• 使用场景:在渗透测试中,通过启动服务恢复目标系统的某些功能或执行恶意操作。
27. wmic useraccount list full
• 用途:使用WMIC命令获取用户账户的详细信息。
• 使用场景:在渗透测试中,分析用户账户的权限和配置,寻找潜在的攻击目标。
28. wmic sysaccount list full
• 用途:使用WMIC命令获取系统账户的详细信息。
• 使用场景:深入了解目标系统的账户体系,评估攻击难度。
29. wmic share list
• 用途:使用WMIC命令获取共享资源的列表。
• 使用场景:在渗透测试中,分析目标系统的共享资源,寻找潜在的安全漏洞。
30. wmic startup list
• 用途:使用WMIC命令获取启动项列表。
• 使用场景:在渗透测试中,分析目标系统的启动项,发现潜在的恶意软件或后门。
31. netstat -napt
• 用途:显示网络连接、监听端口及进程信息。
• 使用场景:用于监控网络连接状态,发现异常连接和监听端口,分析攻击行为。
32. ps -aux
• 用途:显示当前系统中的所有进程信息。
• 使用场景:在Linux系统渗透测试中,用于监控和分析进程状态,发现异常行为。
33. ps -ef
• 用途:以完整格式显示当前系统中的进程信息。
• 使用场景:深入分析进程状态,结合端口排查结果确认异常进程。
34. crontab -l
• 用途:列出当前用户的计划任务。
• 使用场景:在渗透测试中,分析计划任务,发现潜在的恶意软件或后门。
35. cat /etc/passwd
• 用途:查看系统中的用户账户信息。
• 使用场景:在Linux系统渗透测试中,分析用户账户信息,寻找潜在的攻击目标。
36. cat /etc/shadow
• 用途:查看系统中的用户账户密码哈希值(需root权限)。
• 使用场景:尝试破解用户密码,获取系统访问权限。
37. find / -name "*.so"
• 用途:在系统中搜索指定名称的文件(以.so结尾的共享库文件为例)。
• 使用场景:在Linux系统渗透测试中,搜索潜在的恶意软件或后门文件。
38. lsof -i :port
• 用途:列出监听指定端口的进程信息。
• 使用场景:结合netstat命令,深入分析网络连接状态,确认异常进程。
39. strings /path/to/binary
• 用途:提取二进制文件中的可打印字符串。
• 使用场景:分析恶意软件或后门文件中的关键信息,如IP地址、域名等。
40. strings | grep "keyword"
• 用途:在提取的字符串中搜索指定关键字。
• 使用场景:快速定位恶意软件或后门文件中的关键信息。
41. md5sum /path/to/file
• 用途:计算文件的MD5哈希值。
• 使用场景:验证文件的完整性,检测是否被篡改。
42. sha256sum /path/to/file
• 用途:计算文件的SHA-256哈希值。
• 使用场景:与MD5类似,但提供更高的安全性。
43. rpm -qa | grep "keyword"
• 用途:在安装的RPM包中搜索指定关键字。
• 使用场景:在Linux系统渗透测试中,查找潜在的恶意软件或后门包。
44. dpkg -l | grep "keyword"
• 用途:在安装的Debian包中搜索指定关键字。
• 使用场景:与rpm命令类似,但适用于Debian系Linux系统。
45. chkconfig --list
• 用途:列出所有服务的启动状态。
• 使用场景:分析服务的启动配置,发现潜在的恶意服务。
46. service --status-all
• 用途:显示所有服务的运行状态(适用于某些Linux发行版)。
• 使用场景:与chkconfig命令类似,但提供更直观的服务状态信息。
47. systemctl list-units --type=service
• 用途:列出所有systemd管理的服务状态。
• 使用场景:在采用systemd的Linux系统中,分析服务的运行状态。
48. journalctl -xe
• 用途:显示systemd日志信息。
• 使用场景:分析系统日志,发现潜在的安全事件或异常行为。
49. auditctl -l
• 用途:列出当前的审计规则。
• 使用场景:在配置有auditd的系统中,分析审计规则,了解系统的安全监控策略。
50. ausearch -k keyword
• 用途:在审计日志中搜索指定关键字。
• 使用场景:快速定位与关键字相关的安全事件或异常行为。
三、网络流量分析类命令
51. tcpdump -i eth0
• 用途:捕获指定网络接口上的网络流量。
• 使用场景:在网络渗透测试中,捕获并分析网络流量,发现异常通信行为。
52. tcpdump -w capture.pcap
• 用途:将捕获的网络流量保存到文件中。
• 使用场景:便于后续使用Wireshark等工具进行深入分析。
53. tcpdump -r capture.pcap
• 用途:读取并分析之前保存的网络流量文件。
• 使用场景:回顾和分析历史网络流量数据。
54. tshark -i eth0 -f "port 80"
• 用途:使用Wireshark的命令行版本(tshark)捕获指定端口上的网络流量。
• 使用场景:针对特定端口进行网络流量捕获和分析。
55. nmap -sT -O target
• 用途:进行TCP连接扫描和操作系统检测。
• 使用场景:在渗透测试中,快速发现目标主机的开放端口和操作系统类型。
56. nmap -sS -A target
• 用途:进行SYN扫描和高级服务检测。
• 使用场景:更隐蔽地扫描目标主机的开放端口和服务,减少被检测的风险。
57. nmap --script=http- target*
• 用途:执行HTTP相关的Nmap脚本扫描。
• 使用场景:发现Web服务器上的漏洞和敏感信息。
58. zaproxy -daemon -port 8080
• 用途:启动OWASP ZAP代理服务器。
• 使用场景:在Web渗透测试中,作为中间人代理捕获和分析HTTP/HTTPS流量。
59. mitmproxy
• 用途:启动交互式中间人代理。
• 使用场景:手动拦截、修改和重放网络流量,进行深入的Web渗透测试。
60. tcpflow -r capture.pcap
• 用途:从网络流量文件中提取TCP会话数据。
• 使用场景:分析TCP会话内容,发现敏感信息或恶意行为。
61. iftop
• 用途:实时显示网络接口上的流量信息。
• 使用场景:监控网络接口的实时流量,发现异常通信行为。
62. nload
• 用途:显示网络接口的入站和出站流量。
• 使用场景:以图形化方式监控网络接口的流量情况。
63. bmon
• 用途:显示带宽使用情况。
• 使用场景:综合分析网络接口的带宽使用情况,发现潜在的网络瓶颈或攻击行为。
64. iptables -L -n -v
• 用途:列出iptables防火墙规则及流量统计信息。
• 使用场景:分析防火墙配置,了解系统的网络访问控制策略。
65. pfctl -s rules
• 用途:列出PF防火墙规则(适用于BSD系统)。
• 使用场景:与iptables类似,但适用于BSD系统。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...