IP v6 主机 互联网暴露 安全排查
一、漏扫工具检测开放的端口
( Hermes+deepseek / Openclaw+GML = 入门级漏扫工具 )
端口 服务 IPv4 IPv6 变化
52007 unknown -- open [IPv6新增]
52008 unknown open filtered [IPv4]
5555/tcp open Android ADB [严重] 无认证ADB, 已获取Shell
5985/tcp open WinRM HTTP [高] Windows远程管理
详细漏洞
[严重] ADB (5555) — 无认证远程Shell访问
- 已成功连接并获取 shell 权限 (uid=2000 shell)
- 可执行任意命令、截图、文件操作
- 获取了设备截图 (960x540, 已保存 /tmp/screen.png)
- Android 9 + SELinux Permissive = 提权路径存在
[高] WinRM (5985) — Windows远程管理
- Microsoft HTTPAPI httpd 2.0
- 连接超时 — 可能需要认证
- 可尝试 evil-winrm 暴力破解
二、排查开放端口对应得服务
netstat -ano | findstr "52008"
TCP 192.168.0.127:52008 0.0.0.0:0 LISTENING 13696
TCP 192.168.0.127:52008 192.168.0.105:569 CLOSE_WAIT 13696
TCP 192.168.0.127:52008 192.168.0.105:597 CLOSE_WAIT 13696
TCP 192.168.0.127:52008 192.168.0.105:801 CLOSE_WAIT 13696
确认占52008端口,服务进程PID为:13696 ,通过PID直接获取进程详细信息
Get-Process -Id 13696 | Format-List *
Name : 360aibrowser
Id : 13696
PriorityClass : AboveNormal
FileVersion : 1.1.1222.64
HandleCount : 976
WorkingSet : 232284160
PagedMemorySize : 180584448
PrivateMemorySize : 180584448
VirtualMemorySize : 1144152064
TotalProcessorTime : 00:00:47.1250000
SI : 1
Handles : 976
VM : 2307541590016
WS : 232284160
PM : 180584448
NPM : 36360
Path : C:\Users\Administrator\AppData\Roaming\360aibrowser\Application\360aibrowser.exe
Company : 360.cn
CPU : 47.125
ProductVersion : 1.1.1222.64
Description : 360AI浏览器
Product : 360AI浏览器
__NounName : Process
BasePriority : 10
ExitCode :
HasExited : False
ExitTime :
Handle : 3212
SafeHandle : Microsoft.Win32.SafeHandles.SafeProcessHandle
MachineName : .
MainWindowHandle : 0
MainWindowTitle :
MainModule : System.Diagnostics.ProcessModule (360aibrowser.exe)
MaxWorkingSet : 1413120
MinWorkingSet : 204800
Modules : {System.Diagnostics.ProcessModule (360aibrowser.exe), System.Diagnostics.ProcessModule (nt
dll.dll), System.Diagnostics.ProcessModule (KERNEL32.DLL), System.Diagnostics.ProcessModul
e (KERNELBASE.dll)...}
NonpagedSystemMemorySize : 36360
NonpagedSystemMemorySize64 : 36360
PagedMemorySize64 : 180584448
PagedSystemMemorySize : 1158960
PagedSystemMemorySize64 : 1158960
PeakPagedMemorySize : 330571776
PeakPagedMemorySize64 : 330571776
PeakWorkingSet : 390397952
PeakWorkingSet64 : 390397952
PeakVirtualMemorySize : 1229045760
PeakVirtualMemorySize64 : 2307626483712
PriorityBoostEnabled : True
PrivateMemorySize64 : 180584448
PrivilegedProcessorTime : 00:00:17.1250000
ProcessName : 360aibrowser
ProcessorAffinity : 4095
Responding : True
SessionId : 1
StartInfo : System.Diagnostics.ProcessStartInfo
StartTime : 2026/6/8 14:37:25
SynchronizingObject :
Threads : {9444, 7480, 5116, 7268...}
UserProcessorTime : 00:00:30
VirtualMemorySize64 : 2307541590016
EnableRaisingEvents : False
StandardInput :
StandardOutput :
StandardError :
WorkingSet64 : 232284160
Site :
Container :
三、关闭非必要网络服务
-
WinRM (HTTP/5985):是专门为管理员设计的命令行管理接口,用于在后台远程批量执行命令、获取系统信息。
-
远程桌面 (RDP/3389):是给普通用户或管理员使用的图形化桌面,像坐在电脑前一样操作鼠标和键盘。
-
这两个服务没有直接的关联,它们是为完全不同的远程管理需求而设计的。简单来说:关闭WinRM不影响远程桌面正常使用。
# 停止 WinRM 服务 Stop-Service WinRM -Force
# 将 WinRM 服务的启动类型设置为“禁用” Set-Service WinRM -StartupType Disabled
(通过图形界面 关闭WinRM
-
按下
Win + R键,输入services.msc并回车。 -
在服务列表中找到
Windows Remote Management (WS-Management)-2。 -
右键点击它,选择
停止。 -
再次右键点击,选择
属性,将“启动类型”设置为禁用,然后点击“确定”。)
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
5
0- 0
已为社区贡献5条内容
所有评论(0)