某些特殊⾏业的系统可能⾮常⽼,极少更新,故,还是有存在的可能 ] MS17-010 CVE-2019-0708 其实针对此类漏洞的攻击利⽤识别,就显得⽐较直⽩了 通过深⼊分析每种漏洞在实际攻击利⽤过程所产⽣的⼀些典型 流量特征 和 系统⽇志即可⼤致判断 0x07 内⽹安全 [各类敏感凭证 "搜集" 与 "窃取"] 主动密码搜集 注:如下某些操作肯定是需要事先⾃⼰想办法先拿到管理权限或者在指定⽤户权限下才能正常进⾏的 针对⾼版本Windows 的WinRM 远程执⾏ DCOM 远程执⾏ [ 需要⽬标Windows机器事先已关闭防⽕墙 ] ⾼版本 RDP 远程执⾏ 利⽤MSSQL数据库存储过程来变相远程执⾏ 利⽤Oracle数据库存储过程来变相远程执⾏ SMB [ PTH (hash传递) ] RDP[MSTSC] 反向渗透 [ 即可⽤于突破某些隔离, 亦可通过云(Windows vps)直接反控⽬标管理员个⼈机 [ 账号密码,shell ] ... Windows 单机系统维持 [临时] 系统计划任务 [ ⾼权限/低权限 ] 常规注册表⾃启动项 [ ⽤户权限/system权限 ] Mssql存储过程 [ 继承服务权限 ] WMI Winlogon CLR Logon Scripts MruPidlList Mof 传统远控 ... linux 单机系统维持 [临时]

RESERVED © 北京快猫星云科技有限公司 以故障处理为中⼼的稳定性保障模型 故障开始 故障发现 故障定位 服务⽌损 状态恢复 状态正常 状态正常 发现处理 可能出现尝试定位和 尝试⽌损过程的反复 常态预防 复盘改进 ⾸要原则是：先⽌损后排查 状态异常 稳定性建设的重点 增强预防、发现处理能⼒ Flashcat • ⽇常巡检 • ⽇常排查 Flashcat Flashcat