1、确定杀软,包括具有哪些模式,如网购模式,并针对不同模式做好免杀;
2、如在DMZ中,重点关注多网卡主机;
3、信息搜集命令
ipconfig /displaydns
wmic process get name,executablepath
wmic service list brief #查询本机服务信息
wmic startup get command,caption #查看启动程序信息
schtasks /query /fo LIST /v #查看计划任务
net statistics workstation #查看主机开机时间
net user #查询用户列表
wmic qfe get Caption,Description,HotFixID,InstalledOn #查看补丁列表
wmic share get name,path,status #查看本机共享列表
nslookup domain.org
net config workstation #查询当前登录域及登录用户信息
4、利用net user添加隐藏用户
5、端口信息
端口号 | 端口说明 | 使用说明 |
2049 | NFS服务 | 配置不当 |
389 | LDAP | 注入、允许匿名访问、弱口令 |
5900 | VNC | 弱口令爆破 |
5632 | PcAnywhere服务 | 抓取密码、代码执行 |
5432 | Oracle数据库 | TNS爆破、注入、反弹Shell |
27017、27018 | PostgreSQL数据库 | 爆破、注入、弱口令 |
6379 | Redis数据库 | 未授权访问、弱口令爆破 |
5000 | Sysbase/DB2数据库 | 爆破、注入 |
25 | SMTP邮件服务 | 邮件伪造 |
2181 | ZooKeeper服务 | 未授权访问 |
8069 | Zabbix服务 | 远程执行、SQL注入 |
9200、9300 | Elasticsearch服务 | 远程执行 |
11211 | Mencached服务 | 未授权访问 |
512、513、514 | Linux rexec服务 | 爆破、远程登录 |
873 | Rsync服务 | 匿名访问、文件上传 |
3690 | SVN服务 | SVN泄露、未授权访问 |
50000 | SAP Management Console | 远程执行 |