查看linux系统中空闲内存/物理内存使用/剩余内存 查看系统内存有很多方法,但主要的是用top命令和free 命令 当执行top命令看到结果,要怎么看呢?...1346MB内存,还有6636MB空闲内存可以使用. ...一些简单的计算方法: 物理已用内存 = 实际已用内存 - 缓冲 - 缓存 = 6811M - 350M - 5114M 物理空闲内存 = 总物理内存 - 实际已用内存 + 缓冲 + 缓存 应用程序可用空闲内存...内容如下: Mem: 191272k total 物理内存总量 173656k used 使用的物理内存总量 17616k free 空闲内存总量 22052k buffers ...VIRT=SWAP+RES p SWAP 进程使用的虚拟内存中,被换出的大小,单位kb。 q RES 进程使用的、未被换出的物理内存大小,单位kb。
2.1 前言 2.2 内存中如何存放数据?...计算机使用内存来记忆或存储计算时所使用的数据 计算机执行程序时,组成程序的指令和程序所操作的数据都必须存放在某个地方 这个地方就是计算机内存 也称为主存(main memory)或者随机访问存储器(Random...Access Memory, RAM) 内存如何存放数据 存储单位:bit(位) binary digit(二进制数字) 2.3 初始变量 变量是计算机中一块特定的内存空间 由一个或多个连续的字节组成...通过变量名可以简单快速地找到在内存中存储的数据 c++语言变量命名规则 变量名(标识符)只能由字母、数字和下划线3种字符组成 名称第一个字符必须为字母或下划线,不能是数字 变量名不能包含除_以外的任何特殊字符...8):设置宽度 // fixed :强制以小数的形式显示 // setprecision :控制显示精度(使用前要导入头文件) //cout << fixed
WMI有一组API我们不管使用VBScript、PowerShell脚本还是利用C#的来访问WMI的类库,都是因为WMI向外暴露的一组API。...人人都知道WMI能干很多事情,读取本机硬盘信息、读取远程计算机的用户信息、读取域用户信息等等。基本上你能想到的获取或者更改资源的操作它都能干。可谓吃得少干得多。它为什么这么能干呢?...FreePhysicalMemory # 查询空闲内存 Get-WmiObject -class Win32_NetworkAdapterConfiguration # 获取网络信息 gwmi Win32...、操作 Get-WmiObject -Class Win32_Service -ComputerName 10.1.4.62 # 获取远程计算机上的服务 Get-WmiObject Win32_Service...可以使用PowerShell或CMD检索Windows产品密钥。
本章内容包括: 常见远程连接方式的剖析 从密码学角度理解NTLM协议 PTT和PTH的原理 如何利用PsExec、WMI、smbexec进行横向移动 Kerberos协议的认证过程 Windows认证加固方案...因此如果计算机的本地管理员账号和密码也是相同的,攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。...说白了就是使用工具将散列值传递到其他计算机中,进行权限验证,实现对远程计算机的控制 在实际测试中,更新KB287l997后无法使用常规的哈希传递方法进行横向移动,但Administrator账号(SID...kekeo # kerberos::pruge //导入内存 kerberos:: ptt 3、防范 几个点: 使用dir命令时,必须使用主机名(使用IP地址就会导致错误) 票据文件注入内存的默认有效时间为...(Win95及之后) 客户端程序对象能够对网络中的另一台计算机上的服务器程序对象发送请求 执行流程同样: 通过ipc$连接远程计算机 执行命令 1、通过本地DCOM执行命令 获取DCOM程序列表: //
降低内存资源时一定要确保降低的目标值高于当前虚拟机已经使用的内存资源。...PowerShell Direct 在Windows Server 2016中,支持物理机直接通过PowerShell连接到虚拟机,即时虚拟机中没有IP地址也可直接使用。...Windows PowerShell Direct在主机和虚拟机之间运行,这意味着它不需要网络或防火墙要求,无论您的远程管理配置如何,它都能正常工作。...Windows PowerShell Direct是Hyper-V管理员用于连接Hyper-V主机上的虚拟机的现有工具的替代方法: · 远程管理工具,如PowerShell或远程桌面 · Hyper-V...此外除了RemoteFX外,微软还支持DDA(设备直通分配),可以将安装在物理机上的显卡直接映射给虚拟机使用,虚拟机可以像物理机一样使用整个显卡的所有功能、性能,使得某些对图形性能要求较高的应用程序能够得到支持
背景资料 偶然发现在我的测试中使用PowerShell远程处理作为维护系统远程代码执行的主要方法很有用。它是一个内置的Windows功能。...PowerShell远程处理需要对Kerberos身份验证,这意味着客户端计算机和目标计算机必须都连接到同一域。如果我们没有可以连接的机器来执行远程处理,那么这对测试人员来说可能会造成问题。...如何使用从Linux到Windows的PowerShell远程处理 本节将逐步介绍如何从Linux客户端到Windows目标建立远程PowerShell会话。...1.在目标上启用PowerShell远程处理 Enable-PSRemoting –Force 2.获取目标系统上当前TrustedHost的列表以供参考 Get-Item WSMan:localhostClientTrustedHosts...这是在Enter-PSSession设置阶段使用NTLM身份验证所必需的,这是唯一可用于通过PowerShell远程连接从Linux连接到Windows的身份验证机制。
描述: 该cmdlet将计算机配置为接收通过使用WS-Management技术发送的PowerShell远程命令。...Tips : Windows Server 平台上默认启用PowerShell远程处理, 通常不允许在计算机位于公用网络上时在Windows客户端版本上启用PowerShell远程处理,但是您可以使用SkipNetworkProfileCheck...该cmdlet阻止对本地计算机上所有PowerShell版本和更高会话会话配置的远程访问,同样需要使用“以管理员身份运行” 选项启动。...`Get Content`使用Path参数从文本文件Domain01.txt中获取计算机名列表。...Start-Process -FilePath "powershell" -Verb RunAs # 6.此示例演示如何查找启动进程时可以使用的动词,可用的谓词由进程中运行的文件的文件扩展名决定。
如果在部署的时候提示下面的错误信息: 按住win+r键,输入gpedit.msc: 修改左侧菜单路径 计算机配置>管理模板>windows组件>windows远程shell>允许远程...2.确认Hyper-v和RRAS服务已启动 如何确认服务的Hyper-v开启成功,在powershell或者cmd窗口执行systeminfo: 确认RRAS服务已经启动,在powershell...3条中获取的 kubelet.exe 和 kube-proxy.exe 上传到C:\Windows\路径下,(也可以修改系统PATH,添加kube* 所在文件夹,但需要重启,这样我们不需要绝对路径就可以在...HNSTransparent网卡,且使用ifconfig看不到那块网卡信息了,查看这块网卡信息如下: 因为创建docker网络是随机选择一块物理网卡,因此有可能这块网卡就是设置ipv4地址的网卡...ID> -p 获取网卡的接口ID,可以在powershell中执行route print|more。
图4 虚拟NUMA也支持跨物理NUMA,如果单个虚拟NUMA超过了单个物理NUMA节点的CPU数量,可能会出现虚机NUMA拓扑和物理机NUMA拓扑出现偏离的情况,导致CPU访问远程内存的情况发生,如图5...节点之外的远程内存。...同理,如果虚机的NUMA节点的CPU超过了物理机NUMA节点的CPU,这些CPU也将访问其他NUMA节点的远程内存。...要查看物理机的NUMA拓扑,可以在服务器系统的任务管理器查看,也可以使用PowerShell命令查看。...图6 使用PowerShell命令Get-VMHostMumaNode可以查看物理机的NUMA节点更加详细的信息,包括内存以及剩余内存,如下示例所示。
WMI, 它是由一系列工具集组成的可以在本地或者远程管理计算机系统。...WMI 特点: WMI有一组API: 我们不管使用VBScript、PowerShell脚本还是利用C#的来访问WMI的类库,都是因为WMI向外暴露的一组API,通过调用API实现使用指定的类。...MEMPHYSICAL - 计算机系统的物理内存管理。 NETCLIENT - 网络客户端管理。...RDTOGGLE - 远程打开或关闭远程桌面侦听程序。 RECOVEROS - 操作系统出现故障时将从内存收集的信息。...---- 0x06 远程操作 /node 描述:/node 远程计算机操作WMIC命令开启远程计算机的远程桌面连接; 基础语法: #开启远程 wmic /node:"[full machine name
本文作者:Cream(贝塔安全实验室-核心成员) 0x01:Redis未授权访问反弹shell Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value...192.168.63.130:6379>flushall 查看所有键: 192.168.63.130:6379>KEYS * 获取默认的redis目录、和rdb文件名:可以在修改前先获取,然后走的时候再恢复...1.4.1 写ssh-keygen公钥然后使用私钥登录 利用条件: Redis服务使用ROOT账号启动 服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器 操作流程:...一旦攻击者可以在一台计算机上运行代码,他们便可以下载powershell脚本文件(.ps1)到磁盘执行,脚本可以在内存中运行(无文件化)。...Get-PassHashes:获取系统密码hash值 ...... 2.2.1 基于TCP的Powershell交互式shell 在目标机上执行如下的代码: powershell IEX (New-Object
屏幕保护是Windows功能的一部分,使用户可以在一段时间不活动后放置屏幕消息或图形动画。众所周知,Windows的此功能被威胁参与者滥用为持久性方法。...Nishang框架包含一个PowerShell脚本,该脚本也可以执行此攻击,但与上述方法相比,它需要管理级别的特权,因为它在本地计算机中使用注册表项来存储将执行远程托管有效负载的PowerShell命令...在这种情况下,可以使用Metasploit Web交付模块生成并托管PowerShell负载。...一旦用户会话变为空闲,屏幕保护程序将执行PowerShell负载,然后将打开一个meterpreter会话。...利用屏幕保护程序的持久性技术的问题在于,当用户返回并且系统未处于空闲模式时,会话将中断。但是,红队可以在用户不在时执行其操作。如果屏幕保护程序被组策略禁用,则该技术不能用于持久性。
使用被盗的域管理员凭据,没有什么可以阻止攻击者转储所有域凭据并保留. 笔记: 使用域管理员帐户登录计算机会将凭据放置在 LSASS(受保护的内存空间)中。...使用用户帐户登录计算机,然后使用 RunAs 输入域管理员凭据会将凭据置于 LSASS(受保护的内存空间)中。...通常,PowerShell 是一种很好的管理方法,因为通过 PowerShell 远程处理(通过 Enter-PSSession 或 Invoke-Command)连接到远程系统是一种网络登录——没有凭据存储在远程系统的内存中...管理员使用 PowerShell 远程连接到服务器 A,然后尝试从服务器 A 连接到服务器 B。不幸的是,第二次连接失败。...类似的问题是WinRM(PowerShell 远程处理使用)中称为“AllowUnencrypted”的配置设置。
同时还会收集用户计算机内的数据信息,包括系统版本,CPU情况,内存,用户名,系统中的服务项,软件安装情况等。不仅如此,病毒团伙可随时通过远程操控更改病毒代码,进行其他破坏行为。...混淆器代码 病毒所使用的字符串数据均被进行过加密处理,在病毒代码使用相关的字符串资源时,会通过解密函数进行临时解密。...计划任务 在主要病毒代码逻辑执行后,病毒会使用多种不同的命令编号与C&C服务器进行通信,从而获取不同的远端数据(包含病毒模块数据及相关配置数据),并将本地计算机信息和病毒运行状态上传到服务器。...主要命令编号与对应功能描述 C&C服务器返回的数据均被使用AES-256算法进行加密过,数据在受害计算机中也以加密形式进行存放,解密密钥也被存放在回传数据中。...dpost配置内容 Systeminfo systeminfo模块主要用来获取受害者的计算机信息,主要会收集用户系统版本、CPU信息、内存大小信息,系统服务信息,软件安装信息等,收集到的信息最终会拼接成
这在安装新的操作系统或进行系统恢复时尤为重要。本文将详细介绍如何使用PowerShell执行这些操作。 2.1....监控虚拟机性能 PowerShell还可以用来监控虚拟机的性能,例如CPU和内存使用情况。...使用 New-PSSession 和 Copy-Item 复制文件 注意: PowerShell Direct 仅支持 Windows 版本 14280 及更高版本中的持久性会话 在编写用于跨一个或多个远程计算机协调操作的脚本时...完整的虚拟机配置示例 以下是一个完整的PowerShell脚本示例,展示如何创建虚拟机、配置处理器和内存、设置ISO安装源、禁用安全引导以及设置光盘优先引导, 启动: powershell New-VM...这里介绍了如何启用Hyper-V功能,并详细说明了如何使用PowerShell创建、配置、启动、监控,访问和删除虚拟机的步骤。通过这些命令和示例,我们可以更加高效地管理我们的虚拟化环境。
因为后门可能允许一个普通的、未经授权的用户控制计算机,所以攻击者经常使用后门来控制服务器。...该后门会在计算机处于空闲状态时执行,执行成功后会生成名为Persistence.ps1的脚本 $ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask...SQL查询命令或者启动控制台 • net_ifconfig:获取目标网络的地址 • net_proxy:通过本地HTTP端口设置代理 • net_scan:扫描TCP端口 • net_curl:远程执行...,就得做一些后门上去,后门是绕过安全控制获取对程序或系统访问权限的方法。...此篇文章主要介绍一些常用的生成后门的方式,以及如何进行防御后门。
在Linux上,PowerShell使用Syslog,微软将此上升成为一种几乎全平台支持的日志记录解决方案。...作为PowerShell 7的一部分,Microsoft在之前的日志记录基础上,增加了一种安全使用本地或远程存储中的凭据的方法,以便不需要将密码嵌入到脚本中。...还将改进日志记录,以提供将本地计算机日志发送到远程设备的机制,而不管原始操作系统如何。...Powershell日志说明 事件ID 关联 审计 笔记 400 403 始终记录,无论记录设置如何 引擎状态从无更改为可用,记录任何本地或远程PowerShell活动的开始; 403 400 始终记录...模拟执行Get-process获取系统进程信息,然后观察Powershell日志能否记录此次测试行为。
小伙伴们有没有好奇 数据在计算机内存中 是如何存储的? 计算机中物理内存的模型 是怎样的呢?...从物理内存分析,物理内存管理分为等长和不等长划分,等长划分一般通过位图来记录结构,不等长划分一般通过空闲区表来记录。...内存分配算法 上面说了我们如何通过数据结构来组织未分配的内存,我们以空闲区链表结构为例,下面来说说物理内存的分配算法,有如下四种。...3 最佳适配算法 此算法先按照内存块的空闲区大小从小到大进行排序,排序后,每次从头开始匹配,这样匹配出来的结果肯定是最优的,但实际因为比较符合申请内存的大小,会出现很多较小的内存碎片无法使用,并且每次分配后都要重新排序...内碎片:比如按页式分配等长,那么如果有一个进程需要5页多内存,那么我们只能给他分配6页内存,那么这第6页是未用完的,其中除过一些数据外,我们还有空闲的被该进程占据,其他进程也不能使用。
攻击者如何使用Kerberos的银票来利用系统 https://adsecurity.org/?...获取系统SAM文件等 使用VSS卷影副本(通过WMI或PowerShell的远程处理)远程提取NTDS.DIT 窗口有一个名为WMI的内置管理组件,支持远程执行(需要管理员权限).WMIC是在远程计算机上执行命令的...PowerShell提取ntds.dit 使用PowerSploit的Invoke-NinjaCopy远程提取ntds.dit(需要在目标DC上启用PowerShell远程处理功能)。...Invoke-NinaCopy是一个PowerShell函数,它可以利用PowerShell远程处理(必须在目标DC上启用PowerShell远程处理),从远程计算机上复制文件(即使文件已锁定,可直接访问文件...(获取域管理员凭据)转储LSASS内存 ?
当管理应用不再调用WMI时,WMI服务将会关闭或者进入低内存状态。如我们上图所示,WMI服务和上层应用之间是通过COM接口来实现的。...一个托管对象是一个逻辑或者物理组件,比如硬盘驱动器、网络适配器、数据库系统、操作系统、进程或者服务。...为什么使用WMI 对于Windows运维管理人员 对于Windows运维管理功能主要是:访问本地主机的一些信息和服务,可以管理远程计算机(当然你必须要拥有足够的权限,并且双方开启WMI服务,且...查询BIOS信息 Get-WmiObject -Class Win32_BIOS Powershell查询计算机信息 Get-WmiObject -Class Win32_Operatingsystem...的其他类在官方文档中已经罗列详细:Win32类计算机硬件类、操作系统类等,但是要注意Win32_Service不是唯一可以操作WMI的类,以下类可以交替使用。
领取专属 10元无门槛券
手把手带您无忧上云