攻防对抗中常用的windows命令(渗透测试和应急响应)
一、渗透测试
1、信息收集类
#查看系统信息
>systeminfo
#查看用户信息
>net user
>net user xxx
#查看网络信息
>ipconfig /all
>route print
>netstat -abon
>netstat -s
>nbtstat -c
>nbtstat -n
>arp -a
#查询域信息
>net time /domain
>net view /domain
>net user /domain
>net group "domain admins" /domain
>dsquery comoputer
>dsquery server
>dsquery group
>dsquery user
>dsget group "CN=Administrators,CN=Builtin,DC=foo,DC=com" -members
# 抓取认证信息
>.\getpassword
2、操作类
#用户的添加、删除、配置权限组(加$符号在最后能起到隐藏效果)、切换用户
>net user pentest 123456 /add
>net localgroup administrators pentest /add
>net user pentest /del
>runas /noprofile /user:administrator [command]
#网络类操作
>netsh interface ip set address name="本地连接" source=static addr=192.168.0.106 mask=255.255.255.0
>netsh interface ip set address name="本地连接" gateway=192.168.0.1 gwmetric=0
>netsh interface ip set dns name="本地连接" source=static addr=114.114.114.114 register=PRIMARY
>netsh interface portproxy add v4tov4 listenport=3340 listenaddress=a.b.c.d connectport=3389 connectaddress=w.x.y.z #端口转发
>netsh advfirewall firewall add rule name=”forwarded_RDPport_3340” protocol=TCP dir=in localip=w.x.y.z localport=3340 action=allow#修改防火墙
>arp -d #清除arp表
#IPC控制类
>net use \\ip\ipc$ [password] /user:[username] #username 和 password均为空的时候建立的空连接
>net use h: \\ip\c:$
>net view \\ip
>net share #查看本地共享
>net share ipc$ [/del]#开启关闭ipc共享
>net share c$ [/del]#开启关闭c共享
二、应急响应类(功能类似的以介绍wmic为主)
1、系统信息类:
>systeminfo
>wmic os
>wmic cpu
>wmic nteventlog #系统事件日志
>wmic computersystem
2、进程、服务类
>tasklist #查看进程
>tasklist | findstr "evil.exe"
>taskkill /f /t /im evil.exe
>wmic process list full
>wmic process get xxx,xxx,xxx
>wmic process where processid="2345" delete #删除进程
>wmic process call create "C:\Program Files\Tencent\QQ\QQ.exe" #创建进程
>wmic process where name="jqs.exe" get executablepath #查看进程执行路径
>wmic service [list full] [get xxxx,xxxx]
>wmic service where name="xxx" call [startservice | stopservice | pauseservice | delete ]
3、账户、域、工作组类
>wmic useraccount
>wmic sysaccount
>wmic computersystem get domain #查看域\工作组
>wmic group
>wmic netlogin #网络登录信息
>wmic logon #登录日志
4、共享、远程、启动项类
>wmic /node:"a.b.c.d /password:"xxxxxx" /user:"administrator" #远程连接对方
>wmic share
>wmic share where name='x$' call delete
>wmic share call create "","xxx","3","TestShareName","","c:\xxx\xxx",0 #开启共享
>wmic startup list #检查启动项
5、小工具代码
批处理代码,很简单,用作应急响应的快速信息收集,亲测有效
for /F %%i in ('whoami') do ( set commitid=%%i)
set path1=C:\Users
set path3=\Desktop\
set path2=%commitid:~6%
set path4=%path1%%path2%%path3%
set floder=report\
set var=%path4%%floder%
mkdir %var%
set path5=info.txt
set var1=%var%%path5%
cd %var%
systeminfo >> info.txt
netstat -abo >> netflow.txt
netstat -abo >> netflow.txt
netstat -abo >> netflow.txt
netstat -abo >> netflow.txt
netstat -abo >> netflow.txt
wmic process list full /format:hform >> process.html
wmic service list full /format:hform >> services.html
wmic useraccount list full /format:hform >> user.html
wmic sysaccount list full /format:hform >> sysaccount.html
wmic group list full /format:hform >> group.html
wmic logon list full /format:hform >> logonlog.html
wmic netlogin list full /format:hform >> netloginlog.html
wmic job list full /format:hform >> job.html
攻防对抗中常用的windows命令(渗透测试和应急响应)的更多相关文章
- sqlserver中常用的windows命令行的操作
1.删除指定目录下指定时间之前的文件: ), ), @sqltxtdel varchar(max) --指定的删除时间 set @deldate= '-8' --指定的删除路径 set @bakpat ...
- 工作中常用的Linux命令:mkdir命令
本文链接:http://www.cnblogs.com/MartinChentf/p/6076075.html (转载请注明出处) 在Linux系统中,mkdir命令用来创建一个目录或一个级联目录. ...
- 工作中常用的Linux命令:crontab命令
本文链接:http://www.cnblogs.com/MartinChentf/p/6060252.html (转载请注明出处) crontab是一个用来设置.删除或显示供守护进程cron执行的定时 ...
- 工作中常用的Linux命令:ipcs/ipcrm命令
本文链接:http://www.cnblogs.com/MartinChentf/p/6057100.html (转载请注明出处) ipcs 1. 命令格式 ipcs [resource-option ...
- 工作中常用的Linux命令:find命令
本文链接:http://www.cnblogs.com/MartinChentf/p/6056571.html (转载请注明出处) 1.命令格式 find [-H] [-L] [-P] [-D deb ...
- 开发过程中常用的Linux命令
做Java开发好几年了,部署JavaWeb到服务器上,一般都选择Linux,Linux作为服务器真是不二之选,高性能,只要熟悉Linux,操作快捷,效率很高. 总结一下工作中常用的Linux命令备忘: ...
- Tcl与Design Compiler (十三)——Design Compliler中常用到的命令(示例)总结
本文如果有错,欢迎留言更正:此外,转载请标明出处 http://www.cnblogs.com/IClearner/ ,作者:IC_learner 本文将描述在Design Compliler中常用 ...
- 常用的Windows命令
常用的Windows命令 explorer-------打开资源管理器 logoff---------注销命令 shutdown-------关机命令 lusrmgr.msc----本机用户和组 se ...
- 安卓日常开发和逆向中常用的shell命令与非shell命令
简述shell 命令与 非shell命令区别 shell命令不用先adb shell进入界面执行 非shell命令必须要 adb shell进入界面执行 基础非shell命令 1.安装app adb ...
随机推荐
- 安装vmware vCenter Appliance
vcenter appliance是一个vmware配置好的基于suse系统的vcenter的all in one式的虚拟机,比安装基于windows的vcenter服务省事多了,所以我选择部署vCe ...
- Oracle 高级查询
Oracle SQL 一些函数用法 以下sql环境都是在 Oracle 11g/scott完成 Group by 与GROUP BY一起使用的关建字 GROUPING,GROUP SET,ROLLUP ...
- 8. Django系列之上传文件与下载-djang为服务端,requests为客户端
preface 运维平台新上线一个探测功能,需要上传文件到服务器上和下载文件从服务器上,那么我们就看看requests作为客户端,django作为服务器端怎么去处理? 对于静态文件我们不建议通过dja ...
- [Unity3D]关于NaN(Not a Number)的问题
在游戏运行时,代码若写得不安全很容易出现NAN的异常.一旦NAN出现整个游戏不崩溃也坏死掉了,游戏上了则是要被直接打回来的节奏,更是一个开发及测试人员每人都要扣3000块的大BUG. 一般表现为: ...
- MathType如何编辑大三角形符号
MathType中包含的符号超过1000多个,可以满足我们很多学科的使用,尤其是数学中,涉及到很多的符号,常见的就是代数.几何这两大类,当然还有集合之类的符号使用也比较多.我们在用MathType编辑 ...
- 【转】细谈Redis和Memcached的区别
Redis的作者Salvatore Sanfilippo曾经对这两种基于内存的数据存储系统进行过比较: Redis支持服务器端的数据操作:Redis相比Memcached来说,拥有更多的数据结构和并支 ...
- python中的字符串常量,是否支持通过下标的方式赋值
说明: 今天在看python,通过下标获取字符串常量的字符,在想是否可以通过下标的方式赋值. 操作: 1.对字符串下标赋值 >>> text='python' >>> ...
- zabbix加入TCP连接数及状态的监控
一 监控原理: [root@ nginx]# /bin/netstat -an|awk '/^tcp/{++S[$NF]}END{for(a in S) print a,S[a]}' TIME_WAI ...
- 【Python】Linux Acanoda PySpark Spark
1.安装 Acanoda 2.安装 Spark和Scala 3.安装 PySpark 4.将Spark的Python目录拷贝至 Acanoda目录下 5.安装py4j,切换anaconda中bin目 ...
- hadoop的Map阶段的四大步骤
深入理解map的几个阶段是怎样执行的.