In Powershell können Sie, wie Sie erwähnt haben, eine Kombination aus Get-NetTCPConnection
und Get-Process
wie folgt verwenden:
$port = 80 Get-Process -PID @(Get-NetTCPConnection -LocalPort $port| select -ExpandProperty OwningProcess -Unique)
Um Forensik richtig zu machen; bei der Suche nach Schwachstellen, die das Sicherheitsteam in seinen Sicherheitsscans aufgedeckt hat.
Die zwei Befehle, die ich meistens benutze, sind:
c:\ netstat -abno | find "port number"
Dieser Befehl gibt mir eine Prozess-ID für den Port, der die Sicherheitsanfälligkeit aufweist.
Danach;
Ich verwende den folgenden Befehl, um die Anwendung zu verknüpfen, die in dem Prozess ausgeführt wird, der dem obigen Port zugeordnet ist.
c:\ wmic process | find "Proccess Id" > proc.txt
Das gibt mir die mit diesem Prozess verknüpfte Anwendung. Von hier aus recherchiere ich nur die Anwendung, um die darin eingebettete Schwachstelle zu finden.
Meine Frage an alle Ihre PowerShell-Experten lautet:
Wie führe ich denselben Vorgang in PowerShell durch?
Denken Sie daran, ich beginne mit einem Port und ende mit einer Anwendung, die diesem Port mit den oben aufgeführten Schritten zugeordnet ist.
Meine Gedanken:
Es hat wahrscheinlich etwas zu tun mit: Get-Process
und Get-NetTCPConnection
Aber ich kann nicht ganz verstehen, wie der oben beschriebene Denkprozess abgebaut werden kann.
In Powershell können Sie, wie Sie erwähnt haben, eine Kombination aus Get-NetTCPConnection
und Get-Process
wie folgt verwenden:
$port = 80 Get-Process -PID @(Get-NetTCPConnection -LocalPort $port| select -ExpandProperty OwningProcess -Unique)
gut, ich mache das immer mit (als admin)
netstat -abno | findstr portnum
tasklist | findstr PID
oder wenn Sie sich nur um Zuhörer sorgen:
netstat -abno | findstr LISTENING | findstr portnum
tasklist | findstr PID