1.快捷键
CTRL+E:快速打开资源管理器
CTRL+S:快速保存
CTRL+N:新建
win+D:显示桌面
win+R:打开"运行"
win+TAB:项目切换
------------------------------------------------------------------
2.系统目录:
1>> 用户目录:用来存放创建的目录登录后配置的文件的,如果想要把程序开机就启动可以在启动目录下放置,在win+R后输入shell:startup就可以了。
2>> Windows:系统的安装目录,需要记住System32这个目录,
1>>>在System32/config里有一个SAM文件,用来存放账户和密码的文件。
SAM文件:Security account manager:安全账户管理器。用户账户数据库,所有用户的登录名和相关信息都是保存在这个文件下的。
一般来说,只有系统权限,才能够访问。
在密码哈希的基础上再次使用了RC4算法对密文进行了二次加密。
win7之后都是NTLM算法加密的。
删除密码的方法:
1.PE系统,把它的SAM文件给剪切走,然后正常登录后再放回去就行。
2.买一个U盘,下载Kali -linux 的live镜像系统,在Linux系统下,windows的安全访问机制是失效的。
SAM.
mimikatz 猕猴桃破解SAM
2>>>在C:/Windows/System32/drivers/etc/里的hosts文件,是用来解析域名的。
3>> Program Files(x86):64位操作系统都会有, ···64位操作系统会把32位的文件安装在这个目录下
4>> Program Files:64位系统文件存放.
5>> PerfLogs:日志信息,日志存在时间查看。删除会导致电脑性能下降。
在Windows日志(cmd:eventvwr)会给提示,并且网站存在分析日志的程序。
有时候日志会在C:\Windows\System32\winevt\Logs里存在
------------------------------------------------------------------
3.注册表(windows系统的神经系统):
注册表:注册表是Windows的一个非常重要的数据库,用于存储系统和应用程序的设置信息。它是Windows操作系统的经络,写后门的时候可以插注册表。注册表存放的各种参数,直接控制着windows的启动、硬件程序的装载以及一些应用软件的运行,从而在整个系统中起着核心作用,包括了软、硬件的配置信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统设置与许可,文件扩展名与应用程序的关联,硬件部件的描述,状态和属性等。
win+R:regedit
HKEY_CLASSES_ROOT:管理着文件系统,根据在Windows系统中安装的扩展名,指明了文件的类型
HKEY_CURRENT_USER:管理着当前的用户信息,在这个键中保存了计算机的用户信息。
HKEY_LOCAL_MACHINE:管理着当前系统硬件的配置,提权中经常用到。|影子用户(设后门)
HKEY_USERS:管理这用户的信息,每个用户的预配置都是存储在这里的。
HKEY_CURRENT_CONFIG:当前的用户配置信息。
举例:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run #存储的是开机启动项目,删除掉对应项目则对应软件开机不会自启动
(注册表的指令)
cmd→
REG /?
注册表实践
开机启动注册表位置
强制增加一条开机指令,执行c盘下的a.txt v后面是其命名的名字 t是类型 d是其位置
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v haha /t REG_SZ /d "c:\a.txt" /f
删除响应的注册表项目 用其名称就可以删除了 强制删除一条注册表的指令
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v haha /f
将HKCU\SOFTWARE\Microsoft\Unified Store这个注册表项目导出到c:\abc.reg 之后双击这个文件可以将相应的内容自动导入到注册表
(备份的效果)
reg export "HKCU\SOFTWARE\Microsoft\Unified Store" c:\abc.reg
导入某个注册表的文件 地址是c:\abc.reg
查询语句 命令行查询注册表的方式
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts" /s
------------------------------------------------------------------
C:\Users\LYJ>REG /?
REG Operation [Parameter List]
Operation [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT | FLAGS ]
返回代码: (除了 REG COMPARE)
0 - 成功
1 - 失败
要得到有关某个操作的帮助,请键入:
REG Operation /?
例如:
REG QUERY /?
REG ADD /?
REG DELETE /?
REG COPY /?
REG SAVE /?
REG RESTORE /?
REG LOAD /?
REG UNLOAD /?
REG COMPARE /?
REG EXPORT /?
REG IMPORT /?
REG FLAGS /?
------------------------------------------------------------------
注册表命令可以自行深入学习!(切记cmd要用管理员身份运行,否则会拒绝访问)
windows特性:大小写的命令不敏感 reg的大小写都可以
1.添加命令:
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /t REG_SZ /d "C:/a.bat" /f
2.删除命令:
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /f
3.EXPORT注册表(提取):
REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" C:\haha.reg
4.IMPORT(安装注册表):
REG IMPORT C:\haha.reg
一般来说,你拿到一台电脑的权限,你需要通过去修改注册表进行持久化。
比如说,软件自启动,影子用户之类的。
------------------------------------------------------------------
4.MAC地址:48位,由网络设备制造商生产时烧录在网卡的闪存芯片,一般在局域网内部使用MAC地址进行数据传输。
类似于身份证,一个机器一生只有一个
E8-6A-64-75-B6-71:使用十六进制进行表示的
------------------------------------------------------------------
5.iP地址:可以理解为门牌号,在同一个网段之间的IP可以理解为同一个小区的住户,可以彼此拜访。
IPV4/IPV6
IP地址在私有网络中一般有三种:
私有地址:
A类;10.0.0.0-10.255.255.255
B类:172.16.0.0-172.31.255.255
C类:192.168.0.0-192.168.255.255
cmd→ arp -a :内网中MAC地址对应IP地址
发送给192.168.2.1,局域网内你本质上还是需要知道MAC地址的。
特殊的IP地址:
127.0.0.1:本地环回测试(ping它用来检测自己的网络配置是否正确)
255.255.255.255:广播地址:同时向广播域中的所有的主机发送报文
0.0.0.0:代表所有网络 192.168.1.1
------------------------------------------------------------------
6.端口:
端口:是计算机与外界通讯交流的出口。按端口号可分为三大类:
1>>周知端口:
HTTP协议代理服务器常用端口:80/8080/3128/8081/9080
FTP(文件传输)协议代理常用的端口号是:21 CISCO公司
Telnet(远程登录)协议的代理服务器端口号是:23:不安全
SSH:22 安全
TFTP:默认端口号是69
POP3:110
SMTP邮件传输:25
TOMCAT:8080
QQ:1080/UDP
Oracle:1521
2>>注册端口:端口1024到49151,分配给用户进程或应用程序。这些进程主要是用户选择安装的一些应用程序,而不是已经分配好了公认端口的常用程序。这些端口在没有被服务器资源占用的时候,可以用用户端动态选用为源端口
3>>动态端口:动态端口的范围是从49152到65535。之所以称为动态端口,是因为它 一般不固定分配某种服务,而是动态分配。
3389端口的开放是比较危险的,如果我可以访问到你的IP,我可以使用一些爆破工具去爆破你的密码,从而达到远程连接的目的。
查看网络连接状态:(注意中间的空格)
cmd→ netstat -ano
cmd→ netstat -ano | findstr “8080”
1.任务管理器
通过任务管理器可以管理计算机内的应用程序性能与服务。
1.ctrl+Del+. —->选择
2.然任务栏底部右击任务管理器
进程选项卡:可以看到进程ID、CPU、内存等资源的使用情况。
性能卡:可以看计算机CPU、内存、和以太网的具体使用的情况。
用户选项卡:用户的登录状态、单击后可以中断用户的连接。
-----------------------------------------------------------------------------------------
启动:开启启动的应用,可以设置是否禁用
CMD里打开进程信息: tasklist 一般用这个命令来查看运行中的杀软
常用的进程:
1. esif_uf.exe:英特尔的驱动程序。
2.explorer.exe :win+E
资源管理器 用来管理系统图形壳的,包括开始菜单、任务栏、桌面和文件管理,删除该程序会导致Windows图形界面无法使用。
3.winlogon.exe 管理用户登录,结束电脑会关机或者重启的。
4.services.exe/svchost.exe: 用于管理启动和停止一些服务。比如打印机服务print spooler,开机后会自动启动,如果没有该服务或该服务没有启用,打印机将无法使用。或者DHCP无法自动分配IP.
5.lsass.exe:
管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序,一般木马喜欢伪装成这个程序
(猕猴桃,通过注入lsass,达到提取Hash破解电脑密码的效果。)
-----------------------------------------------------------------------------------------
2.服务选项卡:
设置了系统的服务状态,保证了系统的正常工作。
(近期漏洞)CVE-2021-1675:Print Spooler 是 Windows打印后台处理服务,在Windows平台使用打印机的必要服务。攻击者可绕过 RpcAddPrinterDriver 的身份验证,在打印服务器中安装恶意驱动程序。Windows域环境中普通帐户就能利用此漏洞。
防护措施:在服务应用cmd→services.msc中找到Print Spooler服务。停止运行服务,同时将“启动类型”修改为“禁用”。
-----------------------------------------------------------------------------------------
3.本地用户和组
用户类型:
Administrator:拥有最高的权限,可以利用它来管理计算机,建立/修改用户和用户组,设置安全策略,为用户账户分配权限等。
Guest:供没有账户的来宾用户临时使用,权限很小,默认是停用的。
users:普通用户,权限是没有Administrator大,但是比Guest大。
组类型:
user:防止用户进行有意或无意的系统范围的更改,但是可以运行大部分应用程序
Administrator:管理员对计算机/域有不受限制的完全访问权
也可以自己创建组,通过设置不同的权限减轻管理负担。
具体操作:(cmd下)
net user #可以查看现有账户用户
net user haha 123 /add #创建用户(123是密码)
net user haha /del #删除用户
net user haha$ 123/add #隐藏式创建用户,控制台不可见(后门),但是登录时以及注册表都可查
影子用户:完全隐藏的账户(详见影子用户文件)
#新创建的用户一般来说是Users权限,权限相对较低。
net localgroup Administrators haha /add #移动到管理组 (提高权限)
net localgroup "Remote Desktop Users" haha /add
net localgroup Users haha /del #从普通用户组删除
Ps:移动到管理员组后,必须删除掉在用户组的部分。否则很麻烦。
-----------------------------------------------------------------------------------------
4.系统日志
Winodw事件查看器:win+R→eventvwr.msc
可以使用Windows自带的事件查看器对相应事件进行排查
1.系统日志:
记录了系统异常引起的事件,可以查看系统更新、资源不足等系统日志。
!表示警告,一般不会严重影响使用
2.安全日志:
记录了服务器的登录信息,或一些组策略的审核事件
远程登陆的时候,登录成功显示审核成功
远程登陆失败会显示审核失败
通过事件ID去筛选日志
-----------------------------------------------------------------------------------------
5.防火墙
如何打开win+R→WF.msc
防火墙下→入站规则→文件和打印机共享(回显请求 - ICMPv4-In)→属性→禁用即可(禁PING)
CMD下命令防火墙(必须是管理员权限):
cmd→net advfirewall /?
cmd→netsh advfirewall /? #显示命令列表
netsh advfirewall show allprofile #查看当前防火墙信息
CMD里关闭防火墙:netsh advfirewall set allprofiles state off
CMD里开启防火墙:netsh advfirewall set allprofiles state on
在文件夹下快速进入当前目录的cmd 直接搜索框删除原内容 输入cmd即可
7.常用命令:
cls 清屏 类似于linux的clear
ver 查看当前系统的版本号
winver 查看windows版本号 跳出类型
hostname 查看计算机名 内网常用命令
vol 查看当前所在的盘符的序列号
label 查看当前分区的卷标
label c:system 修改c盘卷的卷标
time /t 显示当前时间
date /t 显示当前日期
time 显示时间 也可以修改
start命令可以打开程序
start /max notepad.exe 以最大化的方式去执行记事本这个程序 最小化就是min
start tasklist 新打开一个命令行 然后去执行任务表
start iexplorer "www.baidu.com"
exit 关闭命令行
wmic 查看系统的硬件信息 之后可以根据提示输入
systeminfo 查看系统信息
wmic logicaldisk 列出逻辑磁盘
logoff 注销用户
shutdown /s 关闭计算机
shutdown /s /t 3600 在3600秒也就是1h之后关机
shutdown /a 终止系统关闭命令
shutdown /r 重启计算机
format d:/FS:ntfs /Q 快速格式化d盘为文件系统ntfs格式
chkdsk /f d: 修复磁盘d盘的错误
netsh advfirewall set allprofiles state off 关闭防火墙 off->on为开启防火墙
计划任务命令
schtasks /create /sc minute /mo 20 /tn "haha" /tr c:\a.bat //创建一个名字为haha的计划任务 每20分钟执行一次
schtasks /delete /tn "haha" /f //删除名为haha的计划任务 /f表示不进行确认
schtasks /run /tn "haha" 立刻运行计划任务
schtasks /end /tn "haha" 停止运行计划任务
windows文本处理类命令
find /N /I "haha" a.txt 斜杠I表示忽略大小写 在a.txt中忽略大小写查找haha字符串 斜杠N表示带着行号显示查找结果
find /? 查看find命令的提示
find /C "haha" a.txt 统计含有haha的有多少行
findstr "laile" a.txt 在a.txt中发现字符串 并且显示整行
findstr /c:"ai" a.txt 搜索关键词"ai"
findstr /s /i "ai" *.* 忽略大小写 在当前所有的目录和子目录中搜索关键词ai 全局搜索
findstr "^wo" a.txt 以我开头的 在a.txt中搜索 正则表达式搜索
1.whoami:获取当前登录用户的信息
2.ver:确定操作系统的版本 (也可以winver 看的更明显)
3.nslookup:查询DNS记录,查看域名解析是否正常,一般用于检查网络
使用:nslookup nuistshare.cn
4.systeminfo:查看系统信息,版本、补丁情况
5.nestat:检查网络连接情况、端口是否开放 (netstat -ano 可以查看的更加全面)
6.ipconfig:查看ip
7.net view:查看局域网内的其他计算机
8.dir #查看当前的文件目录
9.cd XXX #切换目录(进入到8中的某个目录下)
14.cd ../ (返回上一级目录) cd ../../ 则返回上两级目录
10.
net user 用户名 密码 /add :建立用户
net user localgroup administrators 用户名 /add :将用户添加到管理员组
net user localgroup users 用户名 /del:将用户从普通用户组中删除
net user :查看有哪些用户
net user 账户名:查看账户信息
11.arp -a:将内网中MAC地址对应IP地址
15.ren [旧文件名] [新文件名]
16.type [文件名] #查看文本信息
17.copy [源文件] [目标目录] #copy b.bat D:\
18.在dos环境下写入文件,交互式的:
copy con [目标文件名] #输入这行后开始输入需要执行的命令
输入按住Ctrl+C终止输入
1.快捷键
CTRL+E:快速打开资源管理器
CTRL+S:快速保存
CTRL+N:新建
win+D:显示桌面
win+R:打开"运行"
win+TAB:项目切换
2.CMD命令
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /t REG_SZ /d "C:/a.bat" /f #添加注册表
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /f #删除注册表
REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" C:\haha.reg #EXPORT注册表提取
REG IMPORT C:\haha.reg #IMPORT(安装注册表)
arp -a #将内网中MAC地址对应IP地址
ipconfig #查看ip相关信息
ipconfig -all 或者 ipconfig /all #更加全面的ip相关信息
nestat #检查网络连接情况、端口是否开放 (netstat -ano 可以查看的更加全面)
netstat -ano #查看网络连接状态,进程开启 含端口情况
(查看电脑开放了哪些端口)
netstat -ano | findstr “8080” #查看8080端口的开放情况
whoami #获取当前登录用户的信息
ver #确定操作系统的版本 (也可以winver 看的更明显)
nslookup #查询DNS记录,查看域名解析是否正常,一般用于检查网络 例:nslookup nuistshare.cn
systeminfo #查看系统信息,版本、补丁情况
net view #查看局域网内的其他计算机
dir #查看当前的文件目录
cd XXX #切换目录(进入到8中的某个目录下) cd C:\Windows\System32
cd ../ #(返回上一级目录) cd ../../ 则返回上两级目录
net user #查看现有账户用户
net user 账户名 #查看账户信息 net user xiaoming 查看用于的基本信息 所属组
net user Administrator xxx //修改管理员的密码为xxx(必须是管理员权限下才行)
net user 用户名 密码 /add #建立用户 用户名和密码 net user haha 123 /add
net user /domain #该参数仅在windows NT Server 域成员的windows NT Workstation计算机上可用。由此判断此用户是否是域成员
net user haha$ 123/add #隐藏式创建用户
net user haha /del #删除用户
net user localgroup administrators 用户名 /add #将用户添加到管理员组
net localgroup "Remote Desktop Users" 用户名 /add #将用户添加到远程组
net user localgroup users 用户名 /del #将用户从普通用户组中删除
ren [旧文件名] [新文件名]
type [文件名] #查看文本信息
copy [源文件] [目标目录] #copy b.bat D:\
copy con [目标文件名] #输入这行后开始输入需要执行的命令,输入按住Ctrl+C终止输入
tasklist #cmd下的任务管理器
tasklist /svc #查看当前计算机的进程情况
netsh advfirewall /? #显示防火墙命令列表
netsh advfirewall show allprofile #查看当前防火墙信息
netsh advfirwall set allprofiles state off #关闭防火墙
netsh advfirwall set allprofiles state on #开启防火墙
route print 显示出ip路由,将主要显示网络地址network address 子网掩码netmask 网关地址Gateway address 接口地址 interface
type c:\read\readme.txt
//查看相应的文件内容
3.win+R命令
shell:startup #开机启动程序的目录
regedit #注册表
eventvwr.msc #Winodw事件查看器
WF.msc #防火墙
win+R下 ncpa.cpl #打开网上连接状态
win+R下 control #控制面板
win+R下 mstsc
