后渗透命令笔记
(1)

基本知识

win目录

开机启动程序目录

C:UsersAl1exAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup

b、开机自启动程序(该特色常被用于进行权限维持)

C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup

c、系统安装路径

C:Windows

d、系统资源文件包含dll、exe以及其他文件

C:WindowsSystem32

e、系统密码存储文件

C:WindowsSystem32configSAM

f、系统日志文件

C:PerfLogs

g、域日志位置

服务器登录日志

C:WindowsSystem32winevtLogsSecurity.evtx

1

远程登录日志

c:windowssystem32winevtlogs*.remote*

h、主机远程登录日志

HKCU\Software\Microsoft\Terminal Server Client\Servers

HKCU\Software\Microsoft\Terminal Server Client\Default

i、Firefox浏览器密码、历史记录

C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxx.default-release\logins.json

C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxx.default-release\key3.db

C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxx.default-release\place.sqlite

说明:将上述三个文件导入到对应版本firefox的文件夹中,即可读取密码和历史记录

j、最近使用文件

该目录下的最近使用文件是快捷方式

C:Users用户名AppDataRoamingMicrosoftWindowsRecent\

WIN窗口命令

dxdiag                查询电脑硬件配置信息

control               控制面板

services.msc          服务

msconfig              系统配置

regedit               注册表

ncpa.cpl              网络连接

firewall.cpl          防火墙

devmgmt.msc           设备管理器

diskmgmt.msc          磁盘管理实用

compmgmt.msc          计算机管理

winver                检查Windows版本 

write                 写字板

mspaint               画图板

mstsc                 远程桌面连接

magnify               放大镜实用程序

notepad               打开记事本

shrpubw               创建共享文件夹

calc                  启动计算器

osk                   打开屏幕键盘

命令收录

系统信息

CHCP 65001                                                             修改字体编码为UTF-8

systeminfo                                                             查看系统信息

hostname                                                               查看主机名

set                                                                    查看环境变量

set path                                                               查看指定环境变量

systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"         查看系统版本 

systeminfo | findstr /B /C:"OS Name" /C:"OSVersion"  查看系统版本

echo %PROCESSOR_ARCHITECTURE%                                                   查看系统体系结构

net statistics workstation                                                      查看主机开机时间  

wmic qfe get Caption,Description,HotFixID,InstalledOn 查看补丁信息

网络信息

ping -t  -l  65500 ip               死亡之ping

ipconfig    /release                 释放ip

ipconfig    /renew                   重新获得ip

ipconfig    /flushdns                刷新DNS缓存

route print                         打印路由信息

arp -a                               查看arp缓存

net view                            查看局域网内其他计算机名称

netsh firewall show state           防火墙状态

netsh firewall show config          防火墙规则

用户信息

whoami                               查看系统当前用户

net user                              查看有哪些用户

net user al1ex                         查看用户al1ex的信息

net localgroup                       查看组

net localgroup administrators        查看组administrators的信息

net user  hack   123 /add            新建一个用户hack,密码为123

net user  hack$  123  /add            新建一个隐藏hack用户,密码为123

net user  hack   /del                 删除用户hack

net localgroup  administrators  hack /add   将普通用户hack提权到管理员

net user  guest  /active:yes          激活guest用户

net user  guest  /active:no           关闭guest用户

net password   密码                    更改系统当前登录用户密码

net user guest 密码                    更改guest用户密码

net session                                                   查看本地计算机和连接的客户端的会话

query user || qwinsta                         查看当前在线用户信息

进程服务

tasklist                            查看进程

tasklist  /v                         查看进程,显示进程使用者名称

wmic process list brief                      查看进程列表信息

netstat  -ano                        查看系统开放端口

netstat  -ano|findstr 80             查看80端口对应的PID

tasklist | findstr 80               查看80端口对应的进程

taskkill /f /t /im xx.exe           杀死xx.exe进程

taskkill /F -pid 520                杀死pid为520的进程

net start                           查看开启了哪些服务

net start telnet                    开启telnet服务

net stop  telnet                     停止 telnet服务

start   www.baidu.com                打开网址

wmic service list brief                      本机服务信息

wmic startup get command,caption    启动程序信息

查看杀软:

wmic /namespace:\rootsecuritycenter2 path antivirusproduct GETdisplayName,productState, pathToSignedProductExe

杀软进程

360SD.exe                                          360杀毒

360TRAY.exe                                                360实时保护

ZHUDONGFANGYU.exe                          360主动防御

KSAFETRAY.exe                                      金山卫士

SAFEDOGUPDATECENTER.exe                     服务器安全狗

MCAFEE MC