netcat 可分兩種執行模式client mode和server mode。可以使用client mode去確認TCP/UDP port是否開啟。

跟遠端主機特定Port建立連線

確認是特定主機3389 Port是否有開，有時可以取代telnet

在這篇文章整理一下平時在 Windows 主機上進行 incident response (IR)時會注意的幾個重點。還是要提醒一下 IR 與鑑識是有差距的，其中差別會包含到在法院上證據力的呈現，如果要進行鑑識時，請找有通過驗證的實驗室進行，相關內容就不在這篇文章中說明。

[caption id=“attachment_913” align=“alignnone” width=“868”] Photo by Anete Lusina on Pexels.com[/caption]

說明

此篇文章作者整理了9款輔助提權的工具，在攻擊時可以參考使用。

介紹

作为技术宅的我，日常最大的爱好就是逛论坛。某日看到论坛里有一款基于主机的漏洞扫描工具，用来查找主机上公开EXP的CVE。嗯嗯，我想还是叫提权辅助工具可能会更顺口一些。在我印象中，类似的工具其实还蛮多的，比如我们熟知的Linux_Exploit_Suggester和Windows-Exploit-Suggester。

指令

Get-ScheduledTask

列出所有 ScheduledTask

Get-ScheduledTask -TaskName "SystemScan"

針對特定Task名稱列出

Get-ScheduledTask -TaskPath "\\UpdateTasks\\\*"

列出特定路徑的Task

Get-ScheduledTask -TaskPath "\\Microsoft\\Windows\\Work Folders\\","\\Microsoft\\Windows\\Workplace Join\\"

其他跟 ScheduledTask 相關指令

https://docs.microsoft.com/en-us/powershell/module/scheduledtasks/?view=windowsserver2019-ps

利用netsh wlan指令找出連線過的Wifi名稱

netsh wlan show profiles

再利用以下指令，針對想查詢的wlan名稱顯示明碼的Key，[WLAN Name]請換成想查詢的名稱

msrc blog

https://msrc-blog.microsoft.com/

一些不錯的Blog

https://www.anquanke.com/

國際Cert

https://www.us-cert.gov/

https://www.jpcert.or.jp/english/

https://twcert.org.tw/

Mitre Att&ck Evaluation

https://attackevals.mitre-engenuity.org/index.html

滲透測試OS

https://blog.backbox.org/

https://www.ired.team