admin 管理员组

文章数量: 887018

Windows操作系统的权限:
Guest权限 User权限  人类可用普通权限 Administrator 人类可用最高权限的用户 System 系统/机器可用最高权限(比人类权限高更多) TrustInstaller 操作系统的最高权限  比System权限更高
CPU权限: OS(操作系统) ring0(驱动程序)  -->windows ddk编程 主要是驱动编程 ring3(大多数软件)
拥有ring0权限的木马甚至可以读取硬盘 把硬盘弄坏了。 usb接口插入usb的瞬间也会调用权限 可以通过usb接口做很多事情 (硬件编程) 硬件黑客降维打击软件黑客 eg:五角大楼官员的u盘被掉包了 内部加了芯片,一旦插入电脑后,会在一瞬间调用usb权限去做事 windows的命令执行顺序(cmd)
& 按照顺序执行多条命令 不管命令是否成功
ipconfig & dir
xxxxassa & dir

&&  按照顺序执行多条命令 如果出错就不继续执行 从出错的位置开始终止执行
ipconfig && dir
ipconfig && dfsf    //ipconfig成功执行  
sddfsdf && dir    //dir没有被执行
find "ha" c:\a.txt && echo 'success'   //在c的a.txt中能否找到ha 如果不能就会终止 如果可以 &&会执行下一条一句 也就是输出success  当前find的内容也会被输出
||   按顺序执行多条命令 当遇到执行正确的语句 就不去执行后续语句了
find "123" c:\a.txt || echo 'success'
find "ha" c:\a.txt || echo 'success'
|  管道命令  将前一条命令的结果给下一条命令去使用
dir *.* /s /a 2>&1 | find /c ".exe"   输出当前文件夹中所有的子文件夹中exe文件的个数
>  将当前命令输出的内容进行覆盖  重定向
tasklist //查看电脑所有的进程
tasklist > 1.txt    //将查询的信息重定向到当前目录下的1.txt文件中
echo 'hahanihao' > 2.txt

>> 追加型重定向 不会进行覆盖 而是追加在后面
echo haha > 1.txt
echo nihao >> 1.txt

< 从文件中获取信息  1.txt文本中内容是1999-12-23  获取1.txt的信息作为date的输入 将右边的输出作为坐标的输入
date < 1.txt  
@ 命令修饰符  执行命令 如果命令错误 不显示错误信息  执行命令的同时不打印其内容
@cd /d c:\new
,  可以代替空格  可以绕过防火墙限制
cd ..
cd new
cd,..
cd,new
cd,c:\
;  执行命令相同的时候,分离目标
dir c:\haha;c:\new
1.快捷键 CTRL+E:快速打开资源管理器 CTRL+S:快速保存 CTRL+N:新建 win+D:显示桌面 win+R:打开"运行" win+TAB:项目切换 ------------------------------------------------------------------ 2.系统目录:    1>> 用户目录:用来存放创建的目录登录后配置的文件的,如果想要把程序开机就启动可以在启动目录下放置,在win+R后输入shell:startup就可以了。    2>> Windows:系统的安装目录,需要记住System32这个目录,          1>>>在System32/config里有一个SAM文件,用来存放账户和密码的文件。          SAM文件:Security account manager:安全账户管理器。用户账户数据库,所有用户的登录名和相关信息都是保存在这个文件下的。          一般来说,只有系统权限,才能够访问。          在密码哈希的基础上再次使用了RC4算法对密文进行了二次加密。          win7之后都是NTLM算法加密的。     删除密码的方法:             1.PE系统,把它的SAM文件给剪切走,然后正常登录后再放回去就行。             2.买一个U盘,下载Kali -linux 的live镜像系统,在Linux系统下,windows的安全访问机制是失效的。             SAM.          mimikatz 猕猴桃破解SAM          2>>>在C:/Windows/System32/drivers/etc/里的hosts文件,是用来解析域名的。               3>> Program Files(x86):64位操作系统都会有,    ···64位操作系统会把32位的文件安装在这个目录下               4>> Program Files:64位系统文件存放.               5>> PerfLogs:日志信息,日志存在时间查看。删除会导致电脑性能下降。                           在Windows日志(cmd:eventvwr)会给提示,并且网站存在分析日志的程序。                          有时候日志会在C:\Windows\System32\winevt\Logs里存在 ------------------------------------------------------------------ 3.注册表(windows系统的神经系统): 注册表:注册表是Windows的一个非常重要的数据库,用于存储系统和应用程序的设置信息。它是Windows操作系统的经络,写后门的时候可以插注册表。注册表存放的各种参数,直接控制着windows的启动、硬件程序的装载以及一些应用软件的运行,从而在整个系统中起着核心作用,包括了软、硬件的配置信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统设置与许可,文件扩展名与应用程序的关联,硬件部件的描述,状态和属性等。 win+R:regedit HKEY_CLASSES_ROOT:管理着文件系统,根据在Windows系统中安装的扩展名,指明了文件的类型 HKEY_CURRENT_USER:管理着当前的用户信息,在这个键中保存了计算机的用户信息。 HKEY_LOCAL_MACHINE:管理着当前系统硬件的配置,提权中经常用到。|影子用户(设后门) HKEY_USERS:管理这用户的信息,每个用户的预配置都是存储在这里的。 HKEY_CURRENT_CONFIG:当前的用户配置信息。 举例: 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   #存储的是开机启动项目,删除掉对应项目则对应软件开机不会自启动 (注册表的指令) cmd→ REG /? 注册表实践 开机启动注册表位置 强制增加一条开机指令,执行c盘下的a.txt  v后面是其命名的名字 t是类型 d是其位置
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v haha /t REG_SZ /d "c:\a.txt" /f
删除响应的注册表项目  用其名称就可以删除了  强制删除一条注册表的指令
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v haha /f
将HKCU\SOFTWARE\Microsoft\Unified Store这个注册表项目导出到c:\abc.reg  之后双击这个文件可以将相应的内容自动导入到注册表 (备份的效果)
reg export "HKCU\SOFTWARE\Microsoft\Unified Store" c:\abc.reg
导入某个注册表的文件  地址是c:\abc.reg
reg import c:\abc.reg
查询语句  命令行查询注册表的方式
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts" /s
------------------------------------------------------------------ C:\Users\LYJ>REG /? REG Operation [Parameter List]   Operation  [ QUERY   | ADD    | DELETE  | COPY    |                SAVE    | LOAD   | UNLOAD  | RESTORE |                COMPARE | EXPORT | IMPORT  | FLAGS ] 返回代码: (除了 REG COMPARE)   0 - 成功   1 - 失败 要得到有关某个操作的帮助,请键入:   REG Operation /? 例如:   REG QUERY /?   REG ADD /?   REG DELETE /?   REG COPY /?   REG SAVE /?   REG RESTORE /?   REG LOAD /?   REG UNLOAD /?   REG COMPARE /?   REG EXPORT /?   REG IMPORT /?   REG FLAGS /? ------------------------------------------------------------------ 注册表命令可以自行深入学习!(切记cmd要用管理员身份运行,否则会拒绝访问) windows特性:大小写的命令不敏感 reg的大小写都可以 1.添加命令: REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /t REG_SZ /d "C:/a.bat" /f 2.删除命令: REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /f 3.EXPORT注册表(提取): REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" C:\haha.reg 4.IMPORT(安装注册表): REG IMPORT C:\haha.reg 一般来说,你拿到一台电脑的权限,你需要通过去修改注册表进行持久化。 比如说,软件自启动,影子用户之类的。 ------------------------------------------------------------------ 4.MAC地址:48位,由网络设备制造商生产时烧录在网卡的闪存芯片,一般在局域网内部使用MAC地址进行数据传输。     类似于身份证,一个机器一生只有一个      E8-6A-64-75-B6-71:使用十六进制进行表示的 ------------------------------------------------------------------ 5.iP地址:可以理解为门牌号,在同一个网段之间的IP可以理解为同一个小区的住户,可以彼此拜访。     IPV4/IPV6     IP地址在私有网络中一般有三种:     私有地址:     A类;10.0.0.0-10.255.255.255     B类:172.16.0.0-172.31.255.255     C类:192.168.0.0-192.168.255.255     cmd→ arp -a :内网中MAC地址对应IP地址     发送给192.168.2.1,局域网内你本质上还是需要知道MAC地址的。     特殊的IP地址:     127.0.0.1:本地环回测试(ping它用来检测自己的网络配置是否正确)     255.255.255.255:广播地址:同时向广播域中的所有的主机发送报文     0.0.0.0:代表所有网络 192.168.1.1 ------------------------------------------------------------------ 6.端口:     端口:是计算机与外界通讯交流的出口。按端口号可分为三大类:     1>>周知端口:         HTTP协议代理服务器常用端口:80/8080/3128/8081/9080         FTP(文件传输)协议代理常用的端口号是:21 CISCO公司         Telnet(远程登录)协议的代理服务器端口号是:23:不安全         SSH:22 安全         TFTP:默认端口号是69         POP3:110         SMTP邮件传输:25         TOMCAT:8080         QQ:1080/UDP         Oracle:1521     2>>注册端口:端口1024到49151,分配给用户进程或应用程序。这些进程主要是用户选择安装的一些应用程序,而不是已经分配好了公认端口的常用程序。这些端口在没有被服务器资源占用的时候,可以用用户端动态选用为源端口     3>>动态端口:动态端口的范围是从49152到65535。之所以称为动态端口,是因为它 一般不固定分配某种服务,而是动态分配。     3389端口的开放是比较危险的,如果我可以访问到你的IP,我可以使用一些爆破工具去爆破你的密码,从而达到远程连接的目的。 查看网络连接状态:(注意中间的空格) cmd→ netstat -ano cmd→ netstat -ano | findstr “8080” 1.任务管理器     通过任务管理器可以管理计算机内的应用程序性能与服务。     1.ctrl+Del+. —->选择     2.然任务栏底部右击任务管理器     进程选项卡:可以看到进程ID、CPU、内存等资源的使用情况。     性能卡:可以看计算机CPU、内存、和以太网的具体使用的情况。     用户选项卡:用户的登录状态、单击后可以中断用户的连接。 -----------------------------------------------------------------------------------------     启动:开启启动的应用,可以设置是否禁用     CMD里打开进程信息:  tasklist  一般用这个命令来查看运行中的杀软 常用的进程:   1. esif_uf.exe:英特尔的驱动程序。 2.explorer.exe :win+E     资源管理器 用来管理系统图形壳的,包括开始菜单、任务栏、桌面和文件管理,删除该程序会导致Windows图形界面无法使用。 3.winlogon.exe 管理用户登录,结束电脑会关机或者重启的。 4.services.exe/svchost.exe: 用于管理启动和停止一些服务。比如打印机服务print spooler,开机后会自动启动,如果没有该服务或该服务没有启用,打印机将无法使用。或者DHCP无法自动分配IP. 5.lsass.exe:     管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序,一般木马喜欢伪装成这个程序     (猕猴桃,通过注入lsass,达到提取Hash破解电脑密码的效果。) ----------------------------------------------------------------------------------------- 2.服务选项卡:     设置了系统的服务状态,保证了系统的正常工作。     (近期漏洞)CVE-2021-1675:Print Spooler 是 Windows打印后台处理服务,在Windows平台使用打印机的必要服务。攻击者可绕过 RpcAddPrinterDriver 的身份验证,在打印服务器中安装恶意驱动程序。Windows域环境中普通帐户就能利用此漏洞。         防护措施:在服务应用cmd→services.msc中找到Print Spooler服务。停止运行服务,同时将“启动类型”修改为“禁用”。 ----------------------------------------------------------------------------------------- 3.本地用户和组     用户类型:     Administrator:拥有最高的权限,可以利用它来管理计算机,建立/修改用户和用户组,设置安全策略,为用户账户分配权限等。     Guest:供没有账户的来宾用户临时使用,权限很小,默认是停用的。     users:普通用户,权限是没有Administrator大,但是比Guest大。     组类型:     user:防止用户进行有意或无意的系统范围的更改,但是可以运行大部分应用程序     Administrator:管理员对计算机/域有不受限制的完全访问权     也可以自己创建组,通过设置不同的权限减轻管理负担。 具体操作:(cmd下)     net user  #可以查看现有账户用户     net user haha 123 /add   #创建用户(123是密码)     net user haha /del       #删除用户     net user haha$ 123/add   #隐藏式创建用户,控制台不可见(后门),但是登录时以及注册表都可查     影子用户:完全隐藏的账户(详见影子用户文件)     #新创建的用户一般来说是Users权限,权限相对较低。     net  localgroup Administrators haha /add  #移动到管理组 (提高权限)     net  localgroup "Remote Desktop Users" haha /add     net  localgroup Users haha /del  #从普通用户组删除     Ps:移动到管理员组后,必须删除掉在用户组的部分。否则很麻烦。 ----------------------------------------------------------------------------------------- 4.系统日志 Winodw事件查看器:win+R→eventvwr.msc     可以使用Windows自带的事件查看器对相应事件进行排查     1.系统日志:         记录了系统异常引起的事件,可以查看系统更新、资源不足等系统日志。         !表示警告,一般不会严重影响使用     2.安全日志:         记录了服务器的登录信息,或一些组策略的审核事件         远程登陆的时候,登录成功显示审核成功         远程登陆失败会显示审核失败     通过事件ID去筛选日志 ----------------------------------------------------------------------------------------- 5.防火墙 如何打开win+R→WF.msc     防火墙下→入站规则→文件和打印机共享(回显请求 - ICMPv4-In)→属性→禁用即可(禁PING)     CMD下命令防火墙(必须是管理员权限):     cmd→net advfirewall /?     cmd→netsh advfirewall /?  #显示命令列表     netsh advfirewall show allprofile  #查看当前防火墙信息       CMD里关闭防火墙:netsh advfirewall set allprofiles state off       CMD里开启防火墙:netsh advfirewall set allprofiles state on
在文件夹下快速进入当前目录的cmd  直接搜索框删除原内容 输入cmd即可 7.常用命令:
cls   清屏 类似于linux的clear
ver  查看当前系统的版本号
winver   查看windows版本号 跳出类型
hostname  查看计算机名  内网常用命令
vol  查看当前所在的盘符的序列号
label  查看当前分区的卷标
label c:system  修改c盘卷的卷标
time /t  显示当前时间
date /t   显示当前日期
time  显示时间 也可以修改

start命令可以打开程序
start /max notepad.exe    以最大化的方式去执行记事本这个程序  最小化就是min
start tasklist  新打开一个命令行 然后去执行任务表
start iexplorer "www.baidu"
exit 关闭命令行
wmic   查看系统的硬件信息 之后可以根据提示输入
systeminfo  查看系统信息
wmic logicaldisk  列出逻辑磁盘
logoff  注销用户
shutdown /s   关闭计算机
shutdown /s /t 3600  在3600秒也就是1h之后关机
shutdown /a   终止系统关闭命令
shutdown /r   重启计算机
format d:/FS:ntfs /Q    快速格式化d盘为文件系统ntfs格式
chkdsk /f d:    修复磁盘d盘的错误
netsh advfirewall set allprofiles state off  关闭防火墙 off->on为开启防火墙
计划任务命令
schtasks /create /sc minute /mo 20 /tn "haha" /tr c:\a.bat     //创建一个名字为haha的计划任务 每20分钟执行一次
schtasks /delete /tn "haha" /f     //删除名为haha的计划任务  /f表示不进行确认
schtasks /run /tn "haha"   立刻运行计划任务
schtasks /end /tn "haha"   停止运行计划任务
windows文本处理类命令
find /N /I "haha" a.txt        斜杠I表示忽略大小写 在a.txt中忽略大小写查找haha字符串 斜杠N表示带着行号显示查找结果 
find /?   查看find命令的提示
find /C "haha" a.txt   统计含有haha的有多少行
findstr "laile" a.txt     在a.txt中发现字符串 并且显示整行
findstr /c:"ai" a.txt    搜索关键词"ai"
findstr /s /i "ai" *.*    忽略大小写 在当前所有的目录和子目录中搜索关键词ai  全局搜索

findstr "^wo" a.txt   以我开头的  在a.txt中搜索 正则表达式搜索

    1.whoami:获取当前登录用户的信息     2.ver:确定操作系统的版本 (也可以winver 看的更明显)     3.nslookup:查询DNS记录,查看域名解析是否正常,一般用于检查网络           使用:nslookup nuistshare     4.systeminfo:查看系统信息,版本、补丁情况     5.nestat:检查网络连接情况、端口是否开放  (netstat -ano 可以查看的更加全面)     6.ipconfig:查看ip     7 view:查看局域网内的其他计算机     8.dir       #查看当前的文件目录     9.cd XXX     #切换目录(进入到8中的某个目录下)     14.cd ../   (返回上一级目录) cd ../../ 则返回上两级目录     10.     net user 用户名 密码 /add :建立用户     net user localgroup administrators 用户名 /add :将用户添加到管理员组     net user localgroup users 用户名 /del:将用户从普通用户组中删除     net user :查看有哪些用户     net user 账户名:查看账户信息     11.arp -a:将内网中MAC地址对应IP地址     12.start www.baidu  (通过命令行来访问网页)     13.curl www.baidu    (查看是否之间有数据包的交互)     15.ren [旧文件名] [新文件名]     16.type [文件名]    #查看文本信息     17.copy [源文件] [目标目录]       #copy b.bat D:\     18.在dos环境下写入文件,交互式的:            copy con [目标文件名] #输入这行后开始输入需要执行的命令                                     输入按住Ctrl+C终止输入      1.快捷键 CTRL+E:快速打开资源管理器 CTRL+S:快速保存 CTRL+N:新建 win+D:显示桌面 win+R:打开"运行" win+TAB:项目切换 2.CMD命令 REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /t REG_SZ /d "C:/a.bat" /f #添加注册表 REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Haha /f   #删除注册表 REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" C:\haha.reg  #EXPORT注册表提取 REG IMPORT C:\haha.reg  #IMPORT(安装注册表) arp -a   #将内网中MAC地址对应IP地址 ipconfig  #查看ip相关信息 ipconfig -all   或者  ipconfig /all    #更加全面的ip相关信息 nestat    #检查网络连接情况、端口是否开放  (netstat -ano 可以查看的更加全面) netstat -ano   #查看网络连接状态,进程开启 含端口情况 (查看电脑开放了哪些端口) netstat -ano | findstr “8080”   #查看8080端口的开放情况 whoami   #获取当前登录用户的信息 ver    #确定操作系统的版本 (也可以winver 看的更明显) nslookup  #查询DNS记录,查看域名解析是否正常,一般用于检查网络  例:nslookup nuistshare systeminfo  #查看系统信息,版本、补丁情况 net view  #查看局域网内的其他计算机 dir       #查看当前的文件目录 cd XXX     #切换目录(进入到8中的某个目录下)  cd C:\Windows\System32 cd ../   #(返回上一级目录) cd ../../ 则返回上两级目录 net user   #查看现有账户用户 net user 账户名   #查看账户信息   net user xiaoming 查看用于的基本信息 所属组 net user Administrator xxx    //修改管理员的密码为xxx(必须是管理员权限下才行)  net user 用户名 密码 /add   #建立用户 用户名和密码  net user haha 123 /add net user /domain   #该参数仅在windows NT Server 域成员的windows NT Workstation计算机上可用。由此判断此用户是否是域成员 net user haha$ 123/add   #隐藏式创建用户 net user haha /del      #删除用户 net user localgroup administrators 用户名 /add   #将用户添加到管理员组 net localgroup "Remote Desktop Users" 用户名 /add   #将用户添加到远程组 net user localgroup users 用户名 /del   #将用户从普通用户组中删除 start www.baidu  #(通过命令行来访问网页) curl www.baidu    #(查看是否之间有数据包的交互) ren [旧文件名] [新文件名] type [文件名]    #查看文本信息 copy [源文件] [目标目录]       #copy b.bat D:\ copy con [目标文件名] #输入这行后开始输入需要执行的命令,输入按住Ctrl+C终止输入 tasklist  #cmd下的任务管理器 tasklist /svc  #查看当前计算机的进程情况 netsh advfirewall /?  #显示防火墙命令列表 netsh advfirewall show allprofile  #查看当前防火墙信息 netsh advfirwall set allprofiles state off  #关闭防火墙 netsh advfirwall set allprofiles state on   #开启防火墙 route print 显示出ip路由,将主要显示网络地址network address 子网掩码netmask 网关地址Gateway address  接口地址 interface type c:\read\readme.txt  //查看相应的文件内容 3.win+R命令 shell:startup  #开机启动程序的目录 regedit  #注册表 eventvwr.msc  #Winodw事件查看器 WF.msc   #防火墙 win+R下    ncpa.cpl  #打开网上连接状态 win+R下    control  #控制面板 win+R下    mstsc 1.安装python环境, 2.  pip install -i https://pypi.doubanio/simple you-get 3.  you-get -i [视屏地址] 4.  看到视频所有支持的格式 5.  按照提示去下载视频 举例:可以下载b站的视频 可以把视频 音频 弹幕都给下载下来 快速进入powershell  在相应目录按下shift加鼠标右键即可看到 删除文件  del c:\haha\nihao.txt    可以通过tab键补全名字    windows下的路径用的是反斜杠 time  显示当前时间 time /?  获取time的帮助命令 mkdir /? dir /b   仅仅显示当前目录下内容的名字  没有创建时间 dir /S   可以看到每个文件夹所有的内容 递归显示所有内容 dir ni*    显示开头是ni的任何内容 正则表达式 tree 目标       以树状结构显示一个文件目录 ren A B    重命名A为B  给目标重命名 ren c:\new\123.txt haha.txt md c:\test\123   递归创建md即mkdir rd c:\test    remove dir删除文件夹  但是必须是空 rd /s /q c:\test    静默删除test文件夹下的所有东西 copy go.txt c:\haha   复制当前目录下的文本文件到c下的haha文件夹下 copy go.txt c:\haha\gogogo.txt    复制的同时换个名字 copy /Y go1.txt+go2.txt go3.txt    将两个文件的内容合并到go3的文本中 move go1.txt c:\haha    剪切当前目录下的go1的文本到haha文件夹下    也支持改名 del haha   会将haha文件夹里的东西删掉 del /f haha   /f表示强制删除 del /f /s /q haha   静默删除haha文件夹里的内容 不询问确认 replace a.txt c:\new   把当前目录下的a.txt 替换到c:\new下的    不用加名字和斜杠 type a.txt    查看a这个文本文件的内容 type a.txt | more   可以用空格键慢慢看

本文标签: 合集 操作系统 知识 Windows