一、渗透测试

1、信息收集类

#查看系统信息

>systeminfo



#查看用户信息

>net user

>net user xxx



#查看网络信息

>ipconfig /all

>route print

>netstat -abon

>netstat -s

>nbtstat -c

>nbtstat -n

>arp -a









#查询域信息

>net time /domain

>net view /domain

>net user /domain

>net group "domain admins" /domain

>dsquery comoputer

>dsquery server

>dsquery group

>dsquery user

>dsget group "CN=Administrators,CN=Builtin,DC=foo,DC=com" -members







# 抓取认证信息

>.\getpassword

2、操作类

#用户的添加、删除、配置权限组(加$符号在最后能起到隐藏效果)、切换用户

>net user pentest 123456 /add

>net localgroup administrators pentest /add

>net user pentest /del

>runas /noprofile /user:administrator [command]


#网络类操作

>netsh interface ip set address name="本地连接" source=static addr=192.168.0.106 mask=255.255.255.0

>netsh interface ip set address name="本地连接" gateway=192.168.0.1 gwmetric=0

>netsh interface ip set dns name="本地连接" source=static addr=114.114.114.114 register=PRIMARY

>netsh interface portproxy add v4tov4 listenport=3340 listenaddress=a.b.c.d connectport=3389 connectaddress=w.x.y.z #端口转发

>netsh advfirewall firewall add rule name=”forwarded_RDPport_3340” protocol=TCP dir=in localip=w.x.y.z  localport=3340 action=allow#修改防火墙

>arp -d #清除arp表


#IPC控制类

>net use \\ip\ipc$ [password] /user:[username] #username 和 password均为空的时候建立的空连接

>net use h: \\ip\c:$

>net view \\ip

>net share #查看本地共享

>net share ipc$ [/del]#开启关闭ipc共享

>net share c$ [/del]#开启关闭c共享

二、应急响应类(功能类似的以介绍wmic为主)

1、系统信息类:

>systeminfo

>wmic os

>wmic cpu

>wmic nteventlog #系统事件日志

>wmic computersystem

2、进程、服务类

>tasklist #查看进程

>tasklist | findstr "evil.exe"

>taskkill /f /t /im evil.exe

>wmic process list full

>wmic process get xxx,xxx,xxx

>wmic process where processid="2345" delete  #删除进程

>wmic process call create "C:\Program Files\Tencent\QQ\QQ.exe"  #创建进程

>wmic process where name="jqs.exe" get executablepath  #查看进程执行路径

>wmic service [list full] [get xxxx,xxxx]

>wmic service where name="xxx" call [startservice | stopservice | pauseservice | delete ]

3、账户、域、工作组类

>wmic useraccount

>wmic sysaccount

>wmic computersystem get domain #查看域\工作组

>wmic group

>wmic netlogin #网络登录信息

>wmic logon #登录日志

4、共享、远程、启动项类

>wmic /node:"a.b.c.d /password:"xxxxxx" /user:"administrator" #远程连接对方

>wmic share

>wmic share where name='x$' call delete

>wmic share call create "","xxx","3","TestShareName","","c:\xxx\xxx",0 #开启共享

>wmic startup list #检查启动项

5、小工具代码

批处理代码,很简单,用作应急响应的快速信息收集,亲测有效

for /F %%i in ('whoami') do ( set commitid=%%i)

set path1=C:\Users

set path3=\Desktop\

set path2=%commitid:~6%

set path4=%path1%%path2%%path3%

set floder=report\

set var=%path4%%floder%

mkdir %var%

set path5=info.txt

set var1=%var%%path5%

cd %var%

systeminfo  >> info.txt

netstat -abo >> netflow.txt

netstat -abo >> netflow.txt

netstat -abo >> netflow.txt

netstat -abo >> netflow.txt

netstat -abo >> netflow.txt

wmic process list full /format:hform >> process.html

wmic service list full /format:hform >> services.html

wmic useraccount list full /format:hform >> user.html

wmic sysaccount list full /format:hform >> sysaccount.html

wmic group list full /format:hform >> group.html

wmic logon list full /format:hform >> logonlog.html

wmic netlogin list full /format:hform >> netloginlog.html

wmic job list full /format:hform >> job.html

攻防对抗中常用的windows命令(渗透测试和应急响应)的更多相关文章

  1. sqlserver中常用的windows命令行的操作

    1.删除指定目录下指定时间之前的文件: ), ), @sqltxtdel varchar(max) --指定的删除时间 set @deldate= '-8' --指定的删除路径 set @bakpat ...

  2. 工作中常用的Linux命令:mkdir命令

    本文链接:http://www.cnblogs.com/MartinChentf/p/6076075.html (转载请注明出处) 在Linux系统中,mkdir命令用来创建一个目录或一个级联目录. ...

  3. 工作中常用的Linux命令:crontab命令

    本文链接:http://www.cnblogs.com/MartinChentf/p/6060252.html (转载请注明出处) crontab是一个用来设置.删除或显示供守护进程cron执行的定时 ...

  4. 工作中常用的Linux命令:ipcs/ipcrm命令

    本文链接:http://www.cnblogs.com/MartinChentf/p/6057100.html (转载请注明出处) ipcs 1. 命令格式 ipcs [resource-option ...

  5. 工作中常用的Linux命令:find命令

    本文链接:http://www.cnblogs.com/MartinChentf/p/6056571.html (转载请注明出处) 1.命令格式 find [-H] [-L] [-P] [-D deb ...

  6. 开发过程中常用的Linux命令

    做Java开发好几年了,部署JavaWeb到服务器上,一般都选择Linux,Linux作为服务器真是不二之选,高性能,只要熟悉Linux,操作快捷,效率很高. 总结一下工作中常用的Linux命令备忘: ...

  7. Tcl与Design Compiler (十三)——Design Compliler中常用到的命令(示例)总结

    本文如果有错,欢迎留言更正:此外,转载请标明出处 http://www.cnblogs.com/IClearner/  ,作者:IC_learner 本文将描述在Design Compliler中常用 ...

  8. 常用的Windows命令

    常用的Windows命令 explorer-------打开资源管理器 logoff---------注销命令 shutdown-------关机命令 lusrmgr.msc----本机用户和组 se ...

  9. 安卓日常开发和逆向中常用的shell命令与非shell命令

    简述shell 命令与 非shell命令区别 shell命令不用先adb shell进入界面执行 非shell命令必须要 adb shell进入界面执行 基础非shell命令 1.安装app adb ...

随机推荐

  1. IntelliJ IDEA 的 .idea 目录加入.gitignore无效的解决方法

    [转载] 无效的原因是:对应的目录或者文件已经被git跟踪,此时再加入.gitignore后就无效了, 解决办法: 先执行 [文件夹]  git rm -r --cached .idea [文件]   ...

  2. level 1 -- unit 2 - what 引导的特殊疑问句

    特殊疑问句 what 引导的特殊疑问句 常见结构如下: 1. what be sb/sth? 1.1 如 谓语动词是单数is what is your phone number ? what is y ...

  3. 让 Oracle 11g 32位运作在64位 Windows 上

    并非不能运行. 本人安装版未曾尝试,但绿色版倒是运行成功了. 很简单:注册表的位置发生了变化而已! 默认(32位.64位),oracle会读取以下注册表的位置:      [HKEY_LOCAL_MA ...

  4. MathType编辑粗体空心字的技巧

    在用MathType公式编辑器编辑公式时,由于不同的使用需要,会有不同的字体要求.如果是正式的论文中的公式,一般公式只要求数学的国际使用规定就可以了,而如果是用在ppt等这种演示的文稿中,所要用到的字 ...

  5. SQL语句:一个表,通过一个字段查找另外一个字段不相同值

    select * from [dbo].[Sys_MemberKey] a where exists(select * from [Sys_MemberKey] b where a.FMachineC ...

  6. jquery.form 和MVC4做无刷新上传DEMO

    jquery.form 和MVC4做无刷新上传DEMO HTML: <script src="~/Scripts/jquery-1.10.2.min.js"></ ...

  7. jsp新建项目

    1.在原有项目的基础上新建一个文件夹 在文件夹内新建一个jsp文件 取名 JSP容器处理JSP文件需要以下三个阶段:翻译——编译——执行 JSP的页面元素包括 静态内容-HTML静态文本 指令-以“& ...

  8. nginx 配置虚拟主机的三种方法

    nginx,一个server标签就是一个虚拟主机. 1.基于域名的虚拟主机,通过域名来区分虚拟主机——应用:外部网站 2.基于端口的虚拟主机,通过端口来区分虚拟主机——应用:公司内部网站,外部网站的管 ...

  9. MySQL------如何关闭打开MySQL

    1.win+R打开运行窗口,输入services.msc 2.在其中查看mysql的服务名,我的是MySQL57 3.以管理员身份打开cmd 停止: 输入net stop MySQL57 启动: 输入 ...

  10. AngularJS------报错"The selector "app-user-item" did not match any elements"

    原因:新建的组件没有在任何界面使用到 解决方法:在界面使用该组件