常用命令
一些比较常用的基础命令
开启3389:
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f*
查询 RDP 开放在哪个端口:
REG query HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWinStationsRDP-Tcp /v PortNumber*
关闭:
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f*
查看杀软情况:
wmic /node:localhost /namespace:\rootsecuritycenter2 path antivirusproduct get displayname /format:list
通过 ldap 查询用户信息:
ldifde -f C:WINDOWStempoutput.txt -d "CN=Users,DC=red,DC=local" -p subtree -r "(&(objectcategory=person)(objectClass=user))" -l "sAMAccountName,mail"
adfind DC=red,DC=local-f "(objectclass=user)" sAMAccountName mail
隐藏文件:
attrib +h +s test.exe
显示隐藏文件:
attrib -h -s test.exe
gpp 域密码策略查找:
findstr /s /i /m /c:"password" \域名SYSVOL域名Policies*.xml
也可以直接使用 msf(ms14-025)
linux 痕迹清除:
/var/log/btmp
记录所有登录失败信息,使用 lastb 命令查看
/var/log/lastlog
记录系统中所有用户最后一次登录时间的日志,使用 lastlog 命令查看
/var/log/wtmp
记录所有用户的登录、注销信息,使用 last 命令查看
/var/log/utmp
记录当前已经登录的用户信息,使用 users 命令查看
/var/log/secure
记录与安全相关的日志信息
/var/log/message
记录系统启动后的信息和错误日志
set +o history
不记录命令在 .bash_history 中
history -c
清理 history 命令
删除、替换日志
删除所有匹配到字符串的行
sed -i '/ip/'d /var/log/message
全局替换登录ip地址
sed -i 's/192.168.166.85/192.168.1.1/g' secure
清除 web 入侵痕迹:
替换 ip 地址
sed -i 's/192.168.166.85/192.168.1.1/g' access.log
清除部分相关日志
cat /var/log/nginx/access.log | grep -v evil.php > tmp.log
把修改过的日志覆盖到原日志文件
cat tmp.log > /var/log/nginx/access.log
隐藏远程ssh登录记录:
ssh -T [email protected] /bin/bash -i
mysql 登录备用密码:cat /etc/mysql/debian.cnf
清除文件指定行:
sed -i '1948,$d' res.txt \清除res.txt第1948及以后行
原文始发于微信公众号(海狮安全团队):常用命令
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论