基本知识
win目录
开机启动程序目录
C:UsersAl1exAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup
b、开机自启动程序(该特色常被用于进行权限维持)
C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup
c、系统安装路径
C:Windows
d、系统资源文件包含dll、exe以及其他文件
C:WindowsSystem32
e、系统密码存储文件
C:WindowsSystem32configSAM
f、系统日志文件
C:PerfLogs
g、域日志位置
服务器登录日志
C:WindowsSystem32winevtLogsSecurity.evtx
远程登录日志
c:windowssystem32winevtlogs*.remote*
h、主机远程登录日志
HKCU\Software\Microsoft\Terminal Server Client\Servers
HKCU\Software\Microsoft\Terminal Server Client\Default
i、Firefox浏览器密码、历史记录
C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxx.default-release\logins.json
C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxx.default-release\key3.db
C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxx.default-release\place.sqlite
说明:将上述三个文件导入到对应版本firefox的文件夹中,即可读取密码和历史记录
j、最近使用文件
该目录下的最近使用文件是快捷方式
C:Users用户名AppDataRoamingMicrosoftWindowsRecent\
WIN窗口命令
dxdiag 查询电脑硬件配置信息
control 控制面板
services.msc 服务
msconfig 系统配置
regedit 注册表
ncpa.cpl 网络连接
firewall.cpl 防火墙
devmgmt.msc 设备管理器
diskmgmt.msc 磁盘管理实用
compmgmt.msc 计算机管理
winver 检查Windows版本
write 写字板
mspaint 画图板
mstsc 远程桌面连接
magnify 放大镜实用程序
notepad 打开记事本
shrpubw 创建共享文件夹
calc 启动计算器
osk 打开屏幕键盘
命令收录
系统信息
CHCP 65001 修改字体编码为UTF-8
systeminfo 查看系统信息
hostname 查看主机名
set 查看环境变量
set path 查看指定环境变量
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" 查看系统版本
systeminfo | findstr /B /C:"OS Name" /C:"OSVersion" 查看系统版本
echo %PROCESSOR_ARCHITECTURE% 查看系统体系结构
net statistics workstation 查看主机开机时间
wmic qfe get Caption,Description,HotFixID,InstalledOn 查看补丁信息
网络信息
ping -t -l 65500 ip 死亡之ping
ipconfig /release 释放ip
ipconfig /renew 重新获得ip
ipconfig /flushdns 刷新DNS缓存
route print 打印路由信息
arp -a 查看arp缓存
net view 查看局域网内其他计算机名称
netsh firewall show state 防火墙状态
netsh firewall show config 防火墙规则
用户信息
whoami 查看系统当前用户
net user 查看有哪些用户
net user al1ex 查看用户al1ex的信息
net localgroup 查看组
net localgroup administrators 查看组administrators的信息
net user hack 123 /add 新建一个用户hack,密码为123
net user hack$ 123 /add 新建一个隐藏hack用户,密码为123
net user hack /del 删除用户hack
net localgroup administrators hack /add 将普通用户hack提权到管理员
net user guest /active:yes 激活guest用户
net user guest /active:no 关闭guest用户
net password 密码 更改系统当前登录用户密码
net user guest 密码 更改guest用户密码
net session 查看本地计算机和连接的客户端的会话
query user || qwinsta 查看当前在线用户信息
进程服务
tasklist 查看进程
tasklist /v 查看进程,显示进程使用者名称
wmic process list brief 查看进程列表信息
netstat -ano 查看系统开放端口
netstat -ano|findstr 80 查看80端口对应的PID
tasklist | findstr 80 查看80端口对应的进程
taskkill /f /t /im xx.exe 杀死xx.exe进程
taskkill /F -pid 520 杀死pid为520的进程
net start 查看开启了哪些服务
net start telnet 开启telnet服务
net stop telnet 停止 telnet服务
start www.baidu.com 打开网址
wmic service list brief 本机服务信息
wmic startup get command,caption 启动程序信息
查看杀软:
wmic /namespace:\rootsecuritycenter2 path antivirusproduct GETdisplayName,productState, pathToSignedProductExe
杀软进程
360SD.exe 360杀毒
360TRAY.exe 360实时保护
ZHUDONGFANGYU.exe 360主动防御
KSAFETRAY.exe 金山卫士
SAFEDOGUPDATECENTER.exe 服务器安全狗
MCAFEE MC