一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。...---- 01、检查系统账号 (1)检查远程管理端口是否对公网开放,服务器是否存在弱口令。 检查方法: 检查防火墙映射规则,获取服务器账号登录,也可据实际情况咨询相关管理员。...03、检查异常进程 (1)检查是否存在可疑的进程 检查方法: a、开始—运行—输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等...任务管理器—选择对应进程—右键打开文件位置 运行输入 wmic,cmd界面 输入 process 04、检查启动项 (1)检查服务器是否有异常的启动项。...06、检查服务 (1)检查系统服务名称、描述和路径,确认是否异常 检查方法: 单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。 ?
上运行。最终得到一个 ccache 文件。获取 PyKEK 生成的 ccache 文件并使用 Mimikatz 将 TGT 注入内存以用作域管理员!...无论站点中是否有修补程序或 2012/2012R2 DC,它都会找到并定位易受攻击的 DC,并且可以正常工作。...减轻: 确保 DCPromo 流程在运行 DCPromo 之前包含一个补丁 QA 步骤,以检查 KB3011780 的安装。...域控制器不会跟踪用户是否真正连接到这些资源(或者即使用户有权访问)。域控制器在 Active Directory 中查找 SPN 并使用与 SPN 关联的服务帐户加密票证,以便服务验证用户访问权限。...使用用户帐户登录计算机并通过在 RDP 凭据窗口中键入域管理员凭据打开与服务器的 RDP 会话,会将域管理员凭据暴露给在系统上运行键盘记录器的任何人(这可能是先前危害用户的攻击者帐户和/或计算机) 如果有服务部署到在具有域管理员权限的服务帐户的上下文下运行的所有工作站或所有服务器
CME执行所提供的命令,该命令运行msbuild.exe并告诉它托管在我的SMB服务器上的XML文件 我现在在ST中获得了一个会话 ?...在我的参与和评估中,我经常运行一些PowerShell脚本来帮助识别下一个目标,检查错误的组策略设置,AD错误配置,缺少补丁等。...此脚本结合了我经常使用的脚本并自动运行我在这些脚本中使用的功能,将结果输出到zip文件中。...例如,如果您想搜索CVV关键字,只需将其添加到“password(密码)”旁边,例如password(密码),cvv •检查网络上的系统补丁 •搜索附属股份 •搜索文件服务器 •收集域策略 这个脚本完全可以独立运行...运行.ps1之后,它将在正在运行的同一文件夹中创建捕获文件并将其压缩。
TriFive和Snugy后门本质上是PowerShell脚本,可以帮助攻击者访问被入侵的Exchange服务器,并使用不同的C2信道来进行通信。...我们在分析服务器日志时,发现了两个由攻击者创建的计划任务,这两个任务都会运行恶意的PowerShell脚本。...我们现在还无法确定攻击者是否使用了这些PowerShell脚本中的任何一个来安装webshell,但是我们相信攻击者在日志记录事件之前就已经访问过这台Exchange服务器了。...下图显示的一封包含演示命令的邮件,主题为555,邮件内容为woFyeWt3cw==,该脚本将通过PowerShell执行: 为了运行攻击者提供的命令,PowerShell脚本需要登录到Exchange服务器上的合法电子邮件帐户...,并检查“已删除邮件”文件夹中主题为555的电子邮件。
web shell转储凭据,使用Plink和RDP横向移动到关键服务器,并使用web shell和RDP渗透敏感信息 联邦调查局和CISA公布的一份报告中描述到APT攻击者正在使用CVE-2021-44077...登录到了beachhead服务器,最后在第七天威胁参与者在系统上执行LSASS转储,并捕获了最近登录系统的管理用户的凭证,在这种情况下由于之前启用了WDigest身份验证威胁参与者可以访问用户的明文凭据...RDP会话,并开始列举网络上的其他计算机 从beachhead通过RDP横向移动到另外三台服务器,包括一台域控制器、一台文件服务器和另一台服务器,在整个入侵过程中机密文件通过RDP混合使用web shell...,此外ekern.exe这个名字类似于ESET的已知成分名叫ekrn.exe 在beachhead系统上威胁参与者查询注册表检查是否启用了WDigest: HKLM\SYSTEM\CurrentControlSet...,在此期间一个特权用户登录到系统进行维护工作,之后威胁参与者使用comsvcs.dll转储LSASS,威胁参与者通过tasklist命令列出正在运行的进程,并使用输出中LSASS的PID传递给凭据转储命令
他在PowerShell里敲入命令winget -v,检查winget的版本号。 屏幕显示winget的版本号是v1.6.3482。 他上网查了一下,winget的稳定版是v1.6.2771。...他运行命令git -v,检查git的版本: 屏幕显示git的版本是2.43.0.windows.1。 他上网查了一下最新的git版本,确实是2.43.0。...然后他运行命令jabba current,验证当前正在使用的jdk确实是版本17。 最后,他运行命令java -version,以验证jdk17是否正常工作。...他知道,这个命令会读取infrastructure文件夹下面的docker-compose.yml文件。并根据其中有关postgres和pgadmin服务的配置信息,启动这两个服务。...三个微服务和ingress并运行 8.8 清理现场 9 取经归来 当最终把前后端分离的web应用成功部署到azure k8s云集群上,并能顺利使用后,马意浓把整个容器化和上云之旅,写成系列文章,分享给其他程序员
在本教程中,您将学习如何使用DHCP控制台和PowerShell备份和还原Windows DHCP服务器。 您是否曾经经历过DHCP服务器崩溃或故障?在设备开始重新启动之前,一切都会平静。...您可以打开文件夹并验证是否已备份数据。 我可以看到文件已写入文件夹,看起来备份成功完成。 这是用于手动备份DHCP服务器的。现在,让我们进入还原过程。...步骤1:登录到要将DHCP备份还原到的服务器 我使用DHCP2的主机名登录第二台DHCP服务器。...现在选择DHCPBackup文件夹 您将收到一条消息,指出必须停止并重新启动该服务。 点击“是” 恢复完成 您可以浏览范围以验证所有内容是否正确还原。...使用PowerShell备份DHCP服务器 此示例将本地登录到服务器。 使用以下命令通过PowerShell备份DHCP配置。
\Invoke-PrivescCheck.ps1; Invoke-PrivescCheck" 当然了,你也可以从一台远程Web服务器来导入并使用该脚本: C:\Temp\>powershell "IEX...- 枚举具有可利用的未引用路径的服务 DLL劫持 Invoke-DllHijackingCheck - 检查是否有任何系统路径文件夹可修改 程序/进程获取 Invoke-InstalledProgramsCheck...- 枚举正在运行的进程 获取凭据 Invoke-SamBackupFilesCheck - 检查SAM/SYSTEM备份文件的常用位置 Invoke-UnattendFilesCheck -枚举无人使用的文件并提取凭证...PowerShell转录 Invoke-RegistryAlwaysInstallElevatedCheck - 检查注册表中是否设置了AlwaysInstallElevated项 Invoke-LsaProtectionsCheck...- 检查LSASS是否作为受保护进程运行(附加检查) 获取网络信息 Invoke-TcpEndpointsCheck - 枚举本地计算机(IPv4和IPv6)上的异常TCP节点 Invoke-UdpEndpointsCheck
启动一个已停止的服务。 • Stop-Service。停止一个正在运行的服务。 • Suspend-Service。挂起一个服务。 2、日志 • Get-EventLog。...附加一个debugger 到某个或某些正在运行的进程上。...2008 R2 的 ServerManager 模块位于PowerShell安装路径下的Modules文件夹。...运行以下命令,检查WebAdministration模块是否已经安装。...4、操作 IIS 加载了WebAdministration 模块之后,PowerShell 环境建立了一个“IIS:\”命名空间。进入这个命名空间,并查看IIS的信息。
再执行创建文件命令额外输出信息详细信息: 正在目标“目标: D:\logs\端午节2.txt”上执行操作“创建文件”。总结:针对获取操作的命令函数执行过程一般没有写入相关信息。...具体如下图创建一个文件,增加-debug 参数会有确认提示,反之则没有。PS D:\logs> remove-item 端午节2.txt -debug确认是否确实要执行此操作?...正在目标“D:\logs\端午节2.txt”上执行操作“删除文件”。[Y] 是(Y) [A] 全是(A) [N] 否(N) [L] 全否(L) [S] 暂停(S) [?] ...● Inquire:执行报错后,询问用户是否继续执行,错误信息会记录到$Error变量。...下面举个例子,这里来删除一个不存在的文件首先执行remove-item 端午节2.txt -ErrorAction Ignore因为这里指定的是Ignore参数,不会输出错误信息也不会记录到$Error
要查看WinRM服务上正在运行的当前侦听器,请运行以下命令: winrm enumerate winrm/config/Listener 这将输出类似: Listener Address...在域环境之外运行并且需要一个简单的侦听器时,这是最容易使用的选项。与其他选项不同,此过程还具有为所需的端口打开防火墙并启动WinRM服务的额外好处。...要检查的一些事情包括: 确保防火墙未设置为阻止已配置的WinRM侦听器端口 确保在主机变量所设置的端口和路径上启用了WinRM侦听器 确保该winrm服务正在Windows主机上运行并配置为自动启动 连接被拒绝错误...一些要检查的东西: 确保WinRM服务已启动并在主机上运行。使用 来获取服务的状态。(Get-Service -Name winrm).Status 检查主机防火墙是否允许通过WinRM端口的通信。...SSH服务使用的文件来配置服务。
因此检查一个文件是否与某个程序关联可以按照这个顺序检查。...利用MSDTC服务加载dll,实现自启动,并绕过Autoruns对启动项的检测。...插入的恶意代码可以是将登录成功的用户密码发送到远程服务器或者记录到某个log文件中。在openssh目录中找到includes.h文件。...(2)sshd软链接后门 在sshd服务配置运行PAM认证的前提下,PAM配置文件中控制标志为sufficient时只要pam_rootok模块检测uid为0即root权限即可成功认证登陆。...简单点就是从sshd fork出一个子进程,输入输出重定向到套接字,并对连过来的客户端端口进行了判断。 服务端执行: cd /usr/sbin mv sshd ../bin echo '#!
这已经不是MSSQL服务器第一次成为此类攻击的目标,但微软安全情报团队透露,最近观察到的这次活动背后的攻击者正在使用合法的sqlps.exe工具作为LOLBin(离地攻击,living-off-the-land...binary的缩写)二进制文件来运行侦察命令,并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件持久性。...由于sqlps是Microsoft SQL Server 附带的一个实用程序,它允许将 SQL Server cmdlet 作为 LOLBin 加载,使攻击者能够执行 PowerShell 命令,而不必担心防御系统检测到他们的恶意行为...sqlps还会让这些攻击不留下任何痕迹,因为使用 sqlps 是绕过脚本块日志记录的有效方法,这是一种 PowerShell 功能,否则会将 cmdlet 操作记录到 Windows 事件日志中。...为了保护 MSSQL 服务器免受此类攻击,微软建议对服务器使用不容易被破解的强密码,并确保服务器始终处在防火墙的保护之下,不要被暴露至公开的互联网络环境中。
其次,Powershell可以获取计算机的服务详细信息、状态等。 ? 其显示结果如下图所示,采用动词+名词方式命名,比较清楚。 ?...Powershell快捷键包括: ? 例如,使用快捷键Ctrl+C打断了正在运行的ping指令;使用tab快捷键补齐了service.msc命令。 ?...查找变量是否存在 ? ? 删除变量 ? ? 专用变量管理的命令 ? 3.自动化变量 powershell打开会自动加载变量,例如:窗口打开它会自动加载大小,再比如程序的配置信息自动加载。...最后修改权限,让其能运行Powershell脚本文件。 ? 它会提示你需要启动管理员身份运行。 ? 通过管理员身份打开CMD,再设置其权限即可,设置完成之后可以调用相关的脚本程序。 ?...运行命令打开: ? ? (3) 运行Powershell脚本文件也类似。 ? 运行结果如下图所示: ? ? 那么,如何在CMD中运行Powershell文件呢?
思路是: 在服务器上搭建Git环境,创建Git仓库 在主机生成Hexo静态文件,通过与服务器连接,推到服务器上的Git仓库 通过git-hooks实现自动部署到网站资源目录 Nginx做静态文件服务器,...,关闭终端,使用ssh git@server重新登录服务器,测试是否能不要密码登录到git用户,如出现Permission denied的问题可尝试文章末尾的解决办法 3.创建Git仓库 mkdir /...遇到的一些问题 在ssh-copy-id 时报错,ssh-copy-id : 无法将“ssh-copy-id”项识别为 cmdlet、函数、脚本文件或可运行程序的名称 解决办法:需要在powershell...配置文件的使用: 1.首先检查配置文件是否已经存在 2.打开powershell输入 Test-Path $procos.ap-chongqing如果返回false,则在C:\Users\admin\Documents...文件 使用ssh-add时出现 unable to start ssh-agent service, error :1058 解决方法:使用管理员权限运行 Power Shell,然后执行Set-Service
该指令会下载并运行一个spearhead bash脚本。 下载和执行方法 Zealot会通过几种方法来捕捉该脚本。首先,它会通过TCP 插口链接一个远程服务器,将收到的数据重新导向shell。...“larva”spearhead Deliveries 下载的bash脚本会通过测试之前定义的mutex(互斥体,21915)是否存在,来检查该机器是否已被感染。...图5 内置64进制编码的 python代码 Little Snitch 和未知类别 可以看到,这个python代码会检查是否“Little Snitch” 进程是否在执行(“Little Snitch”...图13 “zealot.py” 执行两个漏洞利用 注入的shellcode一旦成功执行,它会开始运行PowerShell,下载 相同的“scv.ps1” 代理。不同的是,这一次是不同的服务器。...shellcode,且试图从另一个服务器下载并执行一个名为“minerd_n.ps2”的PowerShell脚本。
启动您最喜爱的shell(cmd.exe,PowerShell或其他)来检查docker和docker-compose的版本,并验证安装。...这些只是建议您在系统上测试Docker的方法,检查版本信息,并确保docker命令正常工作。 1.打开一个shell(cmd.exe,PowerShell或其他)。...(在这个例子中,没有容器正在运行。)...7.运行docker ps时,您的网络服务器正在运行,以查看容器上的详细信息。...Set-ExecutionPolicy RemoteSigned 要检查策略设置是否正确,请运行get-executionpolicy,这将返回RemoteSigned。
图 3 IIS 安装后有几个文件系统添加。 你不需要使用此位置,当您创建额外的 Web 站点时。 事实上,它是一般不建议。 然而,您需要知道这些修改默认的 Web 站点,并检查日志文件的文件夹。...有三个新的服务添加 IIS 下的运行。...现在,它是不足以检查这些服务正在运行。...WebAdministration 模块是否手动导入或动态加载,推出新的 Windows PowerShell 提供程序。 这将创建一个新的文件系统驱动器命名为 IIS。...它是好的方法来检查工作,接收 HTTP 请求的 Web 服务器。 要测试默认的 Web 站点,打开浏览器并键入网站的名称。
“以管理员身份运行”打开PowerShell。...正在运行事务处理安装。 正在开始安装的“安装”阶段。...正在运行事务处理安装。 正在开始安装的“安装”阶段。...输入任务的名称,并设定使用哪个帐户运行该任务。如要需要“以管理员身份运行”,则请勾选“使用最高权限运行”选项。 ? 新建一个触发器,设置为每隔15分钟运行一次。 ? 新建一个操作。...等候2、3个运行周期之后,再打开 C:\SQL2008文件夹,检查该任务写入的文本文件。 ?
Restore-ServiceBinary -servicename 服务名 DLL Hijacking(DLL注入) Find-ProcessDLLHijack 该模块查找当前正在运行的进程潜在的...,则意味着SAM文件是以System权限运行的 Get-RegistryAutoLogon 该模块用于检测Winlogin注册表的AutoAdminLogon项是否被设置...该模块检查缓存的组策略首选项文件中的密码 Get-UnattendedInstallFile 该模块用于检查以下路径,查找是否存在这些文件,因为这些文件可能含有部署凭据...Test-ServiceDaclPermission 该模块用于检查所有可用的服务,并尝试对这些打开的服务进行修改。如果能修改,则返回该服务对象。...Test-ServiceDaclPermission 模块提权 (该模块会检查所有可用的服务,并尝试对这些打开的服务进行修改,如果可修改,则存在此漏洞)。
领取专属 10元无门槛券
手把手带您无忧上云
