在內網滲透中如果直接關閉防火牆,太過於明顯容易被發現,通過cmd命名來開通某個端口會更為穩妥一些。
常用命令
查看當前防火牆狀態:netsh advfirewall show allprofiles
關閉防火牆:netsh advfirewall set allprofiles state off
開啟防火牆:netsh advfirewall set allprofiles state on
恢復初始防火牆設置:netsh advfirewall reset
設置默認輸入和輸出策略:netsh advfirewall set allprofiles firewallpolicy allowinbound,allowoutbound
以上是設置為允許,如果設置為拒絕使用blockinbound,blockoutbound
常用參數解釋
dir=in|out
必備參數,指定進站方向還是出站方向
action=allow|block|bypass
必備參數,設定這個規則是允許還是阻斷或者是跳過
program=
可選參數,為某應用程序設定規則
[service=
可選參數,為某系統服務設定規則
[description=
可選參數,為這個規則加一個說明描述
[localip=any|
]
可選參數,指定本端IP地址
[remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
]
可選參數,指定遠端IP地址
[localport=0-65535|
可選參數,指定本端端口號,默認為所有端口
[remoteport=0-65535|
可選參數,指定遠端端口號,默認為所有端口
[protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|tcp|udp|any (default=any)]
可選參數,指定協議類型,默認為所有協議
[interfacetype=wireless|lan|ras|any]
可選參數,指定接口類型
[security=authenticate|authenc|authdynenc|authnoencap|notrequired(default=notrequired)]
可選參數,指定加密訪問方式
help
顯示命令列表
命令使用示例
添加一條規則:
netsh advfirewall firewall add rule name=RDP dir=in action=allow protocol=tcp localport=3389
該命令的含義為防火牆入添加一條規則,規則名字:RDP,協議tcp,動作為允許,端口號3389;簡而言之,就是允許其他機器遠程桌面連接本機:
刪除一條規則
netsh advfirewall firewall delete rule name=RDP dir=in
直接引用上面的添加策略的命令,把add改成delete就刪除了,如上方截圖中的netsh advfirewall firewall delete rule name=RDP dir=in action=allow protocol=tcp localport=3389