windows黑客命令(CMD)
2023-2-10 08:0:16 Author: 奶牛安全(查看原文) 阅读量:24 收藏

史上最全的Windows高危命令,大家可以收藏学习,但不要用来搞破坏,谢谢!

IT人员可以对这些命令进行下组策略来禁用,防护好网络。

命令作用危害
arp查看和设置ARP缓存ARP污染攻击
assoc查看和设置文件后缀名关联文件后缀名关联被改了,双击打开该类文件可能会唤起另一种程序
at在特定机器安装定时任务APT攻击或逻辑炸弹
attrib显示和设置文件属性可用于隐藏恶意文件
auditpol查看和设置audit策略恶意用户可清除audit策略躲避检测
bcdboot可以快速设置系统分区,或修复位于系统分区上的引导环境设置错误分区,导致无法启动
bcdedit修改启动项设置启动项,从而使得重启加载恶意程序
bdehdcfg查看和设置分区的bitlocker可利用来对分区加密而勒索
bitsadmin用于创建,下载和上传作业可利用于下载恶意文件和横向移动
bootcfg修改系统启动项(boot.ini文件)设置启动项,从而使得重启加载恶意程序
cacls, icacls设置文件ACL可用于恶意文件驻留
certreqCertreq命令可用于向证书颁发机构(CA)请求证书、从CA检索对先前请求的响应、从.inf文件创建新请求、接受并安装对请求的响应、从现有CA证书或请求构造交叉认证或合格从属请求,以及签署交叉认证或合格从属请求。可用于安装恶意证书
certutil转储和显示证书颁发机构(CA)配置信息,配置证书服务,备份和还原CA组件,以及验证证书、密钥对和证书链。泄露证书
change,  chglogon,  chgport,  chgusr,  flattemp,  logoff,  msg,  qappsrv,  qprocess, query, quser, qwinsta, rdpsign, reset session, rwinstat,  shadow, tscon, tsdiscon, tskill, tsprof远程桌面命令集横向移动
chkdsk检查磁盘频繁使用影响系统性能
cipher显示和加解密某些文件和目录加密数据用于勒索
cmd开启一个新的cmd用于反弹shell
cmdkey获取,删除和新建保存的凭据或用户密码获取主机或业务系统的凭证,用于横向移动或密码爆破
cmstp安装和删除连接管理服务配置安装可疑服务配置
convert转换磁盘类型破坏磁盘
cscript执行脚本,不仅是bat执行其它语言的恶意脚本
date显示或查看机器日期篡改日期,导致依赖时间的服务异常
dcgpofix重新创建域的默认组策略对象(GPO)重置域的组策略,从而横向移动或安装后门
defrag磁盘碎片整理频繁使用影响系统性能
dfsdiag获取分布式文件系统的信息黑客可用于信息搜集
dfsrmig分布式文件系统的复制工具黑客用于窃取数据
diskpart管理系统分区毁坏磁盘数据
diskshadow磁盘shadow配置毁坏shadow数据
dnscmd管理DNS服务器域名劫持
doskey获取命令历史或改变命令别名篡改命令别名和泄露用户命令历史
driverquery获取某台机器驱动程序和属性(版本,运行状态)用于信息搜集,针对有缺陷的驱动攻击
exec运行cmd脚本运行恶意脚本
finger获取用户在某台机器的信息信息搜集
format格式化磁盘破坏磁盘数据
ftpftp客户端数据外发
ftype指定某种后缀名文件默认由什么程序打开,可和assoc命令联合使用配置一种新后缀打开篡改默认打开程序
gpfixup修复组策略的DNS依赖关系DNS劫持
gpresult显示远程用户和计算机的策略结果集(RSoP)信息信息搜集
klist显示缓存的kerberos票据票据爆破
ksetup执行与设置和维护Kerberos协议以及密钥分发中心(KDC)以支持Kerberos领域相关的任务攻陷整个权限系统
ktpass允许支持Kerberos身份验证的非Windows服务使用Kerberos密钥分发中心(KDC)服务提供的互操作性功能权限添加,可以把数据从一台无外发权限的机器拖放到另外一台有外网访问的机器(如web服务器)
makecab打包文件成为.cab文件打包外发
manage-bde打开或关闭bitlocker加密磁盘进行勒索
mmcMicrosoft管理控制台有mmc snap-ins漏洞可捕获NTLM hash
mqbkup备份或恢复MSMQ文件可利用恶意备份覆盖现有连接,创建隐蔽通道
mqsvc创建MSMQ创建隐蔽通道
mqtgsvc监控MSMQ和相应管控创建隐蔽通道
msiexec安装软件安装恶意软件
mstsc连接远程桌面横向移动
netsh, net允许本地或远程修改电脑和获取AD域信息信息搜集和横向移动
ntfrsutl从本地和远程服务器转储NT文件复制服务(NTFRS)的内部表、线程和内存信息获取敏感信息
openfiles要查询、显示或断开系统上已打开的共享信息搜集和横向移动
path设置PATH环境变量命令注入
pathping检查网络路由问题用于路径探测
ping网络诊断ping flood
pnputil查看,安装和卸载驱动用于安装rootkit
recover恢复文件频繁使用影响系统性能
refsutil诊断磁盘问题和修改启动区引起性能问题或损坏所有数据
reg操作注册表恶意软件注入或破坏系统
regini通过配置文件来修改注册表恶意软件注入或破坏系统
regsvr32往注册表里注册dll恶意软件注入
robocopy机器间可靠性拷贝文件文件外发
route查看和修改路由创建隐蔽通道
rpcinfo列举远程机器的软件信息搜集
rpcping确保exchange服务端和客户端的连通性信息发现
rundll32运行dll运行恶意程序
san显示或配置SAN网络策略导致SAN下线,影响业务
sc操作注册表和服务管理中心添加后门或停止关键服务
schtasks定时任务添加后门
scwcmd设置安全配置向导(本地或远程)绕过检测或导致日常工作不可行
secedit设置系统安全配置覆盖系统安全配置
servermanagercmd查看,安装和删除角色、角色服务和功能创建隐藏角色
set,setx设置环境变量恶意软件注入
shutdown关闭或重启电脑加载恶意驱动或服务停止
start打开新的cmd窗口反弹shell
taskkill杀死进程杀死关键进程,导致停服
tasklist列举本地或远程进程信息搜集
telnet远程连接数据外发,横向移动
tftp文件传输数据外发
time显示或设置时间篡改时间,导致依赖时间的服务异常
tlntadmn管理本地或远程的telnet服务创建隐蔽通道
tpmvscmgr创建或删除TPM虚拟智能卡创建隐蔽通道
tracert获取路由信息发现
vssadmin对当前的shadow进行配置停止shadow
waitfor发送或等待一个信号获得远程脚本执行状态
wbadmin系统备份管理用坏备份覆盖系统
wdsutil通过镜像部署windows机器用恶意镜像制作肉鸡
whoami显示用户和组信息嗅探
winrswindows远程管理,允许远程管理和执行程序横向移动
wmic显示WMI信息信息嗅探
wscript执行脚本,不仅是bat执行其它语言的恶意脚本

请关注我,转发和点“在看”,谢谢!

请帮忙点击广告!

暗号:26b89


文章来源: http://mp.weixin.qq.com/s?__biz=MzU4NjY0NTExNA==&mid=2247488296&idx=1&sn=aad53852fb943b43e3e537b1818fe5e4&chksm=fdf9783dca8ef12b5aaffc35a454ad66b837da0b4678e58ffde7b43477a512fb729e920e6164#rd
如有侵权请联系:admin#unsafe.sh