wmic命令学习
wmic命令学习
wmic是一个十分强大的win管理工具,结合bat可用来处理很多系统的事情,或者收集系统信息。
内网里面常用的是用来执行远程程序:
先决条件:
a. 启动Windows Management Instrumentation服务,开放TCP135端口。
b. 本地安全策略的“网络访问: 本地帐户的共享和安全模式”应设为“经典-本地用户以自己的身份验证”。
net use后
copy 1.bat \\host\c$\windows\temp\1.bat
wmic /node:ip /user:test /password:testtest process call create c:\windows\temp\1.bat
基本命令格式
找过官网的资料,看完还是摸不着头脑。
https://technet.microsoft.com/en-us/library/cc779482(v=ws.10).aspx
wmic命令大概格式:
wmic + 全局开关 + 别名 + 条件语句 + 动词 + 动词的参数 + 动词开关
以此命令为列
wmic /node:ip /user:test /password:testtest process call create c:\windows\temp\1.bat
全局开关:
/node、/user、/password就是全局开关
/NAMESPACE 别名使用的名称空间路径。
/ROLE 包含此别名定义的角色路径。
/NODE 别名使用的服务器。
/IMPLEVEL 客户模拟级别。
/AUTHLEVEL 客户身份验证级别。
/LOCALE 客户应用的语言识别符。
/PRIVILEGES 启用或禁用所有特权。
/TRACE 将调试信息输出到 stderr。
/RECORD 将所有输入命令和输出写入日志。
/INTERACTIVE 设置或重设交互模式。
/FAILFAST 设置或重置 FailFast 模式。
/USER 会话期间使用的用户。
/PASSWORD 用于会话登录的密码。
/OUTPUT 为输出重新定向指定模式。
/APPEND 为输出重新定向指定模式。
/AGGREGATE 设置或重置集合模式。
/AUTHORITY Specifies the <authority type> for the connection.
/?[:<BRIEF|FULL>] Usage information.
官方资料:
https://technet.microsoft.com/en-us/library/cc787035(v=ws.10).aspx
别名:
process就是别名,强大的就是这个别名
ALIAS - 访问本地机器上的别名
BASEBOARD - 基板 (也叫母板或系统板) 管理。
BIOS - 基本输入/输出服务 (BIOS) 管理。
BOOTCONFIG - 启动配置管理。
CDROM - CD-ROM 管理。
COMPUTERSYSTEM - 计算机系统管理。
CPU - CPU 管理。
CSPRODUCT - SMBIOS 的计算机系统产品信息。
DATAFILE - DataFile 管理。
DCOMAPP - DCOM 程序管理
DESKTOP - 用户桌面管理。
DESKTOPMONITOR - 监视器管理。
DEVICEMEMORYADDRESS - 设备内存地址管理。
DISKDRIVE - 物理磁盘驱动器管理。
DISKQUOTA - NTFS 卷磁盘空间使用情况。
DMACHANNEL - 直接内存访问(DMA)频道管理。
ENVIRONMENT - 系统环境设置管理。
FSDIR - 文件目录系统项目管理。
GROUP - 组帐户管理。
IDECONTROLLER - IDE 控制器管理。
IRQ - 间隔请求线 (IRQ) 管理。
JOB - 提供对使用计划服务安排的工作的访问。
LOADORDER - 定义执行依存的系统服务管理。
LOGICALDISK - 本地储存设备管理。
LOGON - 登录会话。
MEMCACHE - 缓存内存管理。
MEMLOGICAL - 系统内存管理 (配置布局和内存可用性)。
MEMPHYSICAL - 计算机系统物理内存管理。
NETCLIENT - 网络客户端管理。
NETLOGIN - (某一用户的)网络登录信息管理。
NETPROTOCOL - 协议 (和其网络特点) 管理。
NETUSE - 活动网络连接管理。
NIC - 网络界面控制器 (NIC) 管理。
NICCONFIG - 网络适配器管理。
NTDOMAIN - NT 域管理。
NTEVENT - NT 事件日志的项目
NTEVENTLOG - NT 时间日志文件管理。
ONBOARDDEVICE - 母板(系统板)内置普通设适配器设备的管理。
OS - 已安装的操作系统管理。
PAGEFILE - 虚拟内存文件对调管理。
PAGEFILESET - 页面文件设置管理。
PARTITION - 物理磁盘分区区域的管理。
PORT - I/O 端口管理。
PORTCONNECTOR - 物理连接端口管理。
PRINTER - 打印机设备管理。
PRINTERCONFIG - 打印机设备配置管理。
PRINTJOB - 打印工作管理。
PROCESS - 进程管理。
PRODUCT - 安装包任务管理。
QFE - 快速故障排除。
QUOTASETTING - 设置卷的磁盘配额信息。
RECOVEROS - 当操作系统失败时,将从内存收集的信息。
REGISTRY - 计算机系统注册表管理。
SCSICONTROLLER - SCSI 控制器管理。
SERVER - 服务器信息管理。
SERVICE - 服务程序管理。
SHARE - 共享资源管理。
SOFTWAREELEMENT - 安装在系统上的软件产品元素的管理。
SOFTWAREFEATURE - SoftwareElement 的软件产品组件的管理。
SOUNDDEV - 声音设备管理。
STARTUP - 用户登录到计算机系统时自动运行命令的管理。
SYSACCOUNT - 系统帐户管理。
SYSDRIVER - 基本服务的系统驱动程序管理。
SYSTEMENCLOSURE - 物理系统封闭管理。
SYSTEMSLOT - 包括端口、插口、附件和主要连接点的物理连接点管理。
TAPEDRIVE - 磁带驱动器管理。
TEMPERATURE - 温度感应器的数据管理 (电子温度表)。
TIMEZONE - 时间区域数据管理。
UPS - 不可中断的电源供应 (UPS) 管理。
USERACCOUNT - 用户帐户管理。
VOLTAGE - 电压感应器 (电子电量计) 数据管理。
VOLUMEQUOTASETTING - 将某一磁盘卷与磁盘配额设置关联。
WMISET - WMI 服务操作参数管理。
条件语句
WMIC FSDIR WHERE Name='c:\\WINDOWS'
类似sql里面的where语句,用于查询时匹配为真的数据
其中键名可这样获取,前面的都是key
C:\Users\l3m0n>WMIC FSDIR WHERE Name='c:\\phpstudy' list full
AccessMask=
Archive=FALSE
Compressed=FALSE
CompressionMethod=
CSName=L3M0N3115
Description=c:\phpstudy
Drive=c:
EightDotThreeFileName=c:\phpstudy
Encrypted=FALSE
EncryptionMethod=
Extension=
FileName=phpstudy
FileSize=
FileType=File Folder
FSName=NTFS
Hidden=FALSE
InstallDate=20160520132123.163000+480
InUseCount=
LastAccessed=20160520132129.683800+480
LastModified=20160520132129.683800+480
Name=c:\phpstudy
Path=\
Readable=TRUE
Status=OK
System=FALSE
Writeable=TRUE
动词 + 动词参数 + 动词开关
动词:
assoc 返回查询结果
call 执行方法
CREATE 创建一个新实例,并为新实例设置属性值,不能新的类
DELETE 删除实例
GET 获取特定属性
LIST 数据显示
SET 属性操作
动词参数:
BRIEF 简介
FULL 全部信息
INSTANCE 实例
STATUS 对象的状态和相关属性
SYSTEM 系统实例
Alias-specific or user format 过提供不同的属性列表和一个用于显示它们的格式
WRITEABLE 对象的可写的属性
动词开关:
1、 list动词开关
/TRANSLATE:<translation table>
/EVERY:<interval>
/FORMAT:<format specifier>
2、 get动词开关
/VALUE
/ALL
/TRANSLATE:<translation table>
/EVERY:<interval>
/FORMAT:<format specifier>
3、 Assoc动词开关
/RESULTCLASS:<classname>
/RESULTROLE:<rolename>
/ASSOCCLASS:<assocclass>
官方资料:
https://technet.microsoft.com/en-us/library/cc784966(v=ws.10).aspx
比较常用的是导出信息:
/format:hform >>1.html
常见wmic命令
进程信息
进程信息:
wmic process list brief
获取进程路径:
wmic process where name="jqs.exe" get executablepath
wmic 创建新进程
wmic process call create notepad
wmic process call create "C:\Program Files\Tencent\QQ\QQ.exe"
wmic process call create "shutdown.exe -r -f -t 20"
wmic 删除指定进程:
wmic process where name="qq.exe" call terminate
wmic process where processid="2345" delete
wmic process 2345 call terminate
wmic 删除可疑进程
wmic process where "name='explorer.exe' and executablepath<>'%SystemDrive%\\windows\\explorer.exe'" delete
wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate
账号管理
更改当前用户名
WMIC USERACCOUNT where "name='%UserName%'" call rename newUserName
WMIC USERACCOUNT create /?
服务管理
更改telnet服务启动类型[Auto|Disabled|Manual]
wmic SERVICE where name="tlntsvr" set startmode="Auto"
运行telnet服务
wmic SERVICE where name="tlntsvr" call startservice
停止ICS服务
wmic SERVICE where name="ShardAccess" call stopservice
删除test服务
wmic SERVICE where name="test" call delete
目录管理
列出c盘下名为test的目录
wmic FSDIR where "drive='c:' and filename='test'" list
删除c:\good文件夹
wmic fsdir "c:\\test" call delete
重命名c:\test文件夹为abc
wmic fsdir "c:\\test" rename "c:\abc"
wmic fsdir where (name='c:\\test') rename "c:\abc"
复制文件夹
wmic fsdir where name='d:\\test' call copy "c:\\test"
计划任务(后门)
wmic job call create "notepad.exe",0,0,true,false,********154800.000000+480
wmic job call create "explorer.exe",0,0,1,0,********154600.000000+480
know it then do it
