命令速查表--长期更新
cmd信息收集基本命令
| 命令 | 作用 |
|---|---|
| ipconfig /all | 查询本机IP段,所在域等 |
| net user | 本机用户列表 |
| net localgroup administrators | 本机管理员[通常含有域用户] |
| net user /domain | 查询域用户 |
| net group /domain | 查询域里面的工作组 |
| net group “domain admins” /domain | 查询域管理员用户组 |
| net localgroup administrators /domain | 登录本机的域管理员 |
| net localgroup administrators workgroup\user001 /add | 域用户添加到本机 |
| net group “domain controllers” /domain | 查看域控制器(如果有多台) |
| net time /domain | 判断主域,主域服务器都做时间服务器 |
| net config workstation | 当前登录域 |
| net session | 查看当前会话 |
| net use \ip\ipc$ pawword /user:username | 建立IPC会话 |
| net share | 查看SMB指向的路径[即共享] |
| net view | 查询同一域内机器列表 |
| net view \ip | 查询某IP共享 |
| net view /domain | 查询域列表 |
| net view /domain:domainname | 查看workgroup域中计算机列表 |
| net start | 查看当前运行的服务 |
| net accounts | 查看本地密码策略 |
| net accounts /domain | 查看域密码策略 |
| nbtstat –A ip | netbios 查询 |
| netstat –an/ano/anb | 网络连接查询 |
| route print | 路由表 |
| tasklist /V | 查看进程[显示对应用户] |
| tasklist /S ip /U domain\username /P /V | 查看远程计算机进程列表 |
| qprocess * | 类似tasklist |
| qprocess /SERVER:IP | 远程查看计算机进程列表 |
| nslookup –qt-MX Yahoo.com | 查看邮件服务器 |
| whoami /all | 查询当前用户权限等 |
| set | 查看系统环境变量 |
| systeminfo | 查看系统信息 |
| qwinsta | 查看登录情况 |
| qwinsta /SERVER:IP | 查看远程登录情况 |
| fsutil fsinfo drives | 查看所有盘符 |
| gpupdate /force | 更新域策略 |
| cmdkey /l | 看是否保存了登陆凭证。(攻击者会先查看管理员是否保留了登陆凭证,方便后续的凭证抓取。) |
| echo %logonserver% | 查看登陆域 |
lsof
| 命令 | 作用 |
|---|---|
| lsof -i | 显示所有连接 |
| lsof -i 4 | 查看IPv4流量 |
| lsof -i 6 | 查看IPv6流量 |
| lsof -i TCP | 查看TCP流量 |
| lsof -i UDP | 查看UDP流量 |
| lsof -i :22 | 查看端口绑定的应用 |
| lsof -i@1.1.1.1 | 显示指定主机连接的信息 |
| lsof -i@1.1.1.1:3333 | 显示基于主机与端口连接的信息 |
| lsof -i -sTCP:LISTEN | 显示正在监听的端 |
| lsof -i -sTCP:ESTABLISHED | 显示已建立连接信息 |
| lsof -u root | 显示指定用户打开文件信息 |
| lsof -u ^root | 显示除指定用户外打开文件信息 |
| lsof -p 22222 | 显示指定PID打开文件信息 |
| lsof /var/log/messages | 显示与指定目录交互的所有一切 |
| lsof /home/daniel/firewall_whitelist.txt | 显示与指定文件交互的所有一切 |
Windwos应急响应
| 命令 | 作用 |
|---|---|
| netstat -ano | 查看端口情况 |
| tasklist | findstr “PID” | 定位PID |
| netstat -ano -p tcp | 查看端口情况,指定TCP |
| systeminfo | 系统信息核查运⾏ |
| lusrmgr.msc | 可疑账号排查(Win+R) |
| regedit | 查看注册表 |
| C:\Documents and Settings/ | 查看用户目录 |
| %UserProfile%\Recent | 查看最近文件(Win+R) |
| eventvwr.msc | 查看日志事件 |
| C:\Windows\System32\winevt\Logs | 日志存储路径 |
| msconfig | 异常启动项(Win+R) |
| taskschd.msc | 计划任务(Win+R) |
| schtasks.exe | cmd,查看计划任务 |
| taskkill /T /F /PID pid号 | 强制杀死进程(/F强制、/T子进程) |
| services.msc | 服务管理器 |
Linux 应急响应
Cobaltstrike信息收集
| 域环境判断 | 作用 |
|---|---|
| ipconfig /all | 查看网卡详细信息,若存在域,主DNS后缀会显示域信息,若为工作组则不显示 |
| shell systemctl | 查看系统详细信息 |
| shell net config workstation | 查看当前登录域信息 |
| shell net time /domain | 查看域内时间 |
| 域环境信息收集 | 作用 |
|---|---|
| shell net view /domain | 查看域列表 |
| shell net view /domain:域名称 | 枚举域主机(部分主机,网上邻居内容) |
| shell net group “domain computers” /domain | 查看域内成员 |
| net user /domain | 查看域内成员 |
| shell net group “domain admins” /domain | 查看域管理员 |
| shell net group “domain controllers” /domain | 查看域控主机 |
| shell nltest/dclist:域名称 | 查看域控主机 |
| shell ping 主机名(可在枚举域主机查找) | 查看目标主机IP |
| shell nslookup 主机名 | 查看目标主机IP |
| shell net group “enterprise admins” /domain | 查询企业管理员,查询企业指定系统管理员用户。 |
| shell nltest /domain_trusts | 查看域信任关系 |
| shell net vire \主机名 | 列出主机共享列表 |
| shell wmic useraccount get /all | 查询域用户详细信息 |
| shell whoami /all | 获取域SID,获取域SID值,可以用于票据传递攻击。 |
| shell net time /domain | 查看域内时间(可作定位主域控制器) |
| shell net localgroup administrators /domain | 查看登录本机的域管理员 |
| shell netdom query pdc | 查看域内所有用户组列表 |
| shell nltest /DCLIST:域名称 | 通过nltest定位主域控制器 |
| shell net accounts /domain | 查看域内密码策略信息 |
| 单主机信息收集 | 作用 |
|---|---|
| shell ipconfig /all | 查看本机网络配置信息 |
| systeminfo | findstr /B /C:”OS Nmae” /C:”OS Version” | 查看操作系统及版本信息,针对性搜集相关系统版本的漏洞EXP,英文版系统用这条命令 |
| systeminfo | findstr /B /C:”OS 名称” /C:”OS 版本” | 查看操作系统及版本信息,针对性搜集相关系统版本的漏洞EXP,中文版系统用这条命令 |
| shell echo %PROCESSOR_ARCHITECTURE% | 查看系统体系结构,需要使用相对应版本兼容性的渗透工具 |
| shell wmic product get name,version | 查看安装程序及版本信息 |
| shell wmic service list brief | 查看本机服务信息 |
| shell tasklist /v | 查看进程列表,查看当前进程列表对应的用户身份命令、对应执行的用户身份 |
| shell tasklist /svc | 查看当前本地运行的程序、进程PID号、服务名,可以将执行命令的返回结果去查询是否有杀毒软件在运行 |
| shell wmic startup get command,caption | 查看启动程序信息,了解当前机器开机的时候会运行哪些程序,是否可利用自启动劫持 |
| shell schtasks /query /fo LIST /v | 查看计划任务 |
| shell net statistics workstation | 查看主机开机时间,判断这台机器的管理员是不是经常在登陆这台机器 |
| shell net user | 查看用户列表 |
| shell query user || qwinsta | 查看当前在线用户 |
| shell netstat -ano | 查看本机端口开放情况,查看连接分析是否存在敏感服务 |
| shell wmic qfe get Caption,Description,HotFixID,InstalledOn | 查询补丁信息,包含说明链接/补丁描述/KB编号/更新时间等信息 |
| shell wmic qfe list full | 查询补丁全部信息 |
| shell route print | 查看路由信息 |
| shell arp -a | 查看arp缓存 |
| shell netsh firewall show config | 查看防火墙配置 |
| 3389 | 作用 |
|---|---|
| shell REG QUERY “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /V PortNumber | 查看远程桌面服务是否开启,在cmd下使用注册表查询语句,命令如下,得到连接端口为0xd3d,转换后为3389 |
| shell REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f | 开启3389 |
| shell REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f | 关闭3389 |
Everything搜索语句
| 语句 | 作用 |
|---|---|
| dm:2022/9/1-2022/9/2 .exe|.bat|*.vbs | 搜索指定时间新建的exe、bat、vbs文件 |
| empty: | 搜索空文件夹 |
| dm:thisyear | 搜索当年文件 |
| dc:thisweek | 搜索这周创建的文件和文件夹 |
| dm:today | 搜索今日修改的文件 |
| dm:2019-2021 | 搜索具体年份 |
| d:|e: *.jpg | 搜索分区 D: 或 E: 上 jpg 文件 |
| !. | 搜索无扩展名的文件或文件夹 |
| size:>1mb | 搜索大于 1MB 的文件 |
Docker基础命令
| 命令 | 功能 |
|---|---|
| docker search tomcat | 搜索镜像 |
| docker pull dordoka/tomcat | 拉取镜像 |
| docker images | 查看镜像 |
| docker stop [容器ID或容器名] | 停止镜像 |
| docker rmi [OPTIONS] [IMAGEID] | 删除本地镜像,-f 强制删除,–no-prune:不移除镜像产生的过程镜像。默认为移除。 |
| docker run dordoka/tomcat | 生成容器 |
| docker run -p 8080:8080 -d doradoka/tomcat | 指定端口生成容器.8080:8080,第一个本机端口、第二个容器运行服务的端口 |
| docker run -it ubuntu | 生成容器后获取交互式终端(ubuntu) |
| docker ps | 查看容器 |
| docker exec -it 6e /bin/bash | 进入容器 |
| docker cp ./flag.txt 28:/var | 复制文件进入容器 |
| docker cp 28:/var C:\Users\flag.txt | 复制文件到本地 |
| docker ps -l | 显示最近创建的容器 |
| docker rm [IMAGEID] | 删掉一个或多个容器 |
Windows日志分析
常用事件 ID 含义
| Event ID(2000/XP/2003) | Event ID(Vista/7/8/2008/2012) | 描述 | 日志名称 |
|---|---|---|---|
| 528 | 4624 | 成功登录 | Security |
| 529 | 4625 | 失败登录 | Security |
| 680 | 4776 | 成功/失败的账户认证 | Security |
| 624 | 4720 | 创建用户 | Security |
| 636 | 4732 | 添加用户到启用安全性的本地组中 | Security |
| 632 | 4728 | 添加用户到启用安全性的全局组中 | Security |
| 2934 | 7030 | 服务创建错误 | System |
| 2944 | 7040 | IPSEC服务服务的启动类型已从禁用更改为自动启动 | System |
| 2949 | 7045 | 服务创建 | System |
| 556 | 4662 | DC hash传递攻击 | Security |
登陆类型
| 登录类型 | 描述 |
|---|---|
| Interactive | 用户登录到本机 |
| Network | 用户或计算手机从网络登录到本机,如果网络共享,或使用 net use 访问网络共享,net view 查看网络共享 |
| Batch | 批处理登录类型,无需用户干预 |
| Service | 服务控制管理器登录 |
| Unlock | 用户解锁主机 |
| NetworkCleartext | 用户从网络登录到此计算机,用户密码用非哈希的形式传递 |
| NewCredentials | 进程或线程克隆了其当前令牌,但为出站连接指定了新凭据 |
| Remotelnteractive | 使用终端服务或远程桌面连接登录 |
| Cachedlnteractive | 用户使用本地存储在计算机上的凭据登录到计算机(域控制器可能无法验证凭据),如主机不能连接域控,以前使用域账户登录过这台主机,再登录就会产生这样日志 |
| CachedRemotelnteractive | 与 Remotelnteractive 相同,内部用于审计目的 |
| CachedUnlock | 登录尝试解锁 |
路由配置
Windwos
| 命令 | 功能 |
|---|---|
| route add 198.18.1.0(网段) MASK 255.255.255.0(掩码) 198.18.123.1(网关) | 添加路由 |
| route print 和 netstat -r | 查看路由表 |
| route delete 10.10.10.0 | 删除路由 |
Linux
| 命令 | 功能 |
|---|---|
| sudo route add -net 198.18.1.0 netmask 255.255.255.0 gw 198.18.123.1 | 添加路由 |
| route | 查看路由表 |
| route del -net 192.168.0.0/24 gw 192.168.0.1 | 删除路由 |
Sqlmap常用参数
| 命令参数 | 参数作用 |
|---|---|
| -u | 指定目标url |
| -r | 从文件中加载HTTP请求(数据包) |
| * | json格式指定参数,如指定参数orderNo:{“phoneNo”:”15123456789”,”platNum”:”844519422627945”,”orderNo”:”1*”} |
| -m | 从文本中获取多个目标扫描 |
| –data | 以POST方式提交数据 |
| -random-agent | 随机User-Agent |
| –user-agent | 指定User-Agent |
| –delay | 设置请求间的延迟 |
| –timeout | 指定超时时间 |
| –dbms | 指定db,sqlmap支持的db有MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、SQLite等 |
| –os | 指定数据库服务器操作系统 |
| –tamper | 指定脚本tamper |
| –level | 指定探测等级 |
| –risk | 指定风险等级 |
| –technique | B: Boolean-based blind SQL injection E: Error-based SQL injection U: UNION query SQL injection S: Stacked queries SQL injection T: Time-based blind SQL injection |
| -p | 指定需要测试的参数 |
| –batch | 自动选择Y/N |
| –dbs | 枚举数据库 |
| -D | DATABASE:指定数据库 |
| –tables | 枚举表名 |
| -T | 指定表名 |
| –columns | 枚举列名 |
| -D | COLUMN:指定字段 |
| –dump | 脱取指定字段 |
| –dump-all | 脱取数据库全部字段 |
| -a/–all | 获取所有信息 |
| -b/–banner | 获取banner信息 |
| –current-user | 获取当前数据库用户 |
| –is-dba | 判断当前用户是否为DBA权限 |
| –users | 枚举用户列表 |
| –sql-shell | 返回交互式sql的shell |
| –os-shell | 返回交互式的操作系统shell |
| –os-cmd | 执行OS命令CMD |
| –cookie=COOKIE | 伪造cookie |
| –proxy=PROXY | 使用代理连接目标 URL |
| –mobile | 使用 HTTP User-Agent 模仿智能手机 |
| -H HEADER | 设置额外的 HTTP 头参数(例如:”X-Forwarded-For: 127.0.0.1”) |
| –ignore-proxy | 忽略系统默认代理设置 |
| * | 在 |
| –keep-alive | 保持连接,出现[CRITICAL] connection……报错的时候,使用这个参数 |
| –referer http://www.baidu.com | #伪造referer字段 |
| -v 3 | 输出详细度,最大值5,会显示请求包和回复包 |
| –roles | 列出数据库所有管理员角色,仅适用于oracle数据库的时候 |