为了正确地进行取证;发现安全团队在安全扫描中发现的漏洞。
我最常使用的两个命令是:
c:\ netstat -abno | find "port number"
此命令为我提供了存在漏洞的端口的进程 ID。
在这之后;
我使用以下命令来关联与上述端口关联的进程上运行的应用程序。
c:\ wmic process | find "Proccess Id" > proc.txt
这为我提供了与该过程链接的应用程序,从这里,我只需研究该应用程序即可找到其中嵌入的漏洞。
我对各位 PowerShell 专家的问题是;
如何在 PowerShell 中完成相同的过程?
现在请记住,我从一个端口开始,并按照上面列出的步骤得到一个与该端口关联的应用程序。
我的想法:
Get-Process
这可能与 以下因素有关:
Get-NetTCPConnection
但无法完全理解如何分解如上所述的思维过程。
答案1
Get-NetTCPConnection正如您所提到的,在 Powershell 中,您可以使用和的组合,Get-Process如下所示:
$port = 80
Get-Process -PID @(Get-NetTCPConnection -LocalPort $port| select -ExpandProperty OwningProcess -Unique)
答案2
嗯,我总是用(作为管理员)
netstat -abno | findstr portnum
tasklist | findstr PID
或者如果你只担心听众:
netstat -abno | findstr LISTENING | findstr portnum
tasklist | findstr PID