在某些异常情况下,Office 2016 或 Office 365 可能无法通过添加删除程序进行卸载,各位可以通过以下方法手动卸载。教程来源于微软,遇到类似问题的朋友不妨试试。
由于接触的是自动化测试,基于Selenium,使用到Selenium Grid, 一台Hub机控制着多台Node机。倘若出现关机,或者要重启Hub和全部的Node就必须手动逐台打开本地文件-->运行Node.bat脚本文件,启动服务,这样子完全不科学,不是自动化,应该使用自动化解决这些事情,而不是手动一台一台的去启动。
大家是否遇到和我一样的问题,就是发现C:\Windows\WinSxS这个文件夹占了C盘太多空间了,想要清理它,但是又无从下手呢,本文教你如何清理WinSxS 文件夹。
在“开始菜单”->“运行”中输入gpedit.msc打开组策略编辑器,在左边导航栏中选择“计算机配置”->“windows设置”->“脚本(启动/关机)”,双击其右边的“启动”选项,打开“启动属性”窗口:
文档结尾有介绍不自建vncserver设置仅在1上显示,使Windows GPU机器控制台vnc能使用的办法
一些安全研究员发现,通过修改创建的计划任务的注册表,同时删除计划任务文件,可以完全隐藏计划任务,并且执行不受影响
schtasks.exe /CREATE /ru system /rl highest /SC DAILY /MO 1 /TN restart_rdp_service /TR "powershell.exe -c '& {restart-service termservice -force}'" /ST 02:00 /RI 120 /DU 24:00 /f
脚本 首先创建一个启动脚本 init.bat,内容如下: time /t >> c:\test\test.log echo %COMPUTERNAME% >> c:\test\test.log echo %USERNAME% >> c:\test\test.log 创建任务 schtasks.exe /create /tn "init" /ru SYSTEM /sc ONSTART /tr "C:\test\init.bat" 删除任务 schtasks /delete /tn init 查询任务 scht
描述:计划执行任务(Server专用)AT命令安排在特定日期和时间运行命令和程序,再进行$IPC空会话会用到,注意要使用AT命令计划服务必须已在运行中。 语法参数:
需求:生成ANSI格式的.ps1,实现检查开机的时候windows time服务是否启动状态,不是的话启动它。
参考https://cloud.tencent.com/developer/article/2295502 设置仅在2显示(注意:仅在2是独显,仅在1是非独显,仅在2的话控制台vnc不可用,仅在1的话控制台vnc可用,具体设置什么以业务为准)
如何确认远程端口号,参考https://cloud.tencent.com/developer/article/1871411
验证了2008R2/2012R2/2016/2019/2022/Win10/Win11 七个系统都适用
任务计划程序服务(Task Scheduler service)是Windows操作系统中的一个核心服务,它负责管理和执行计划任务。任务计划程序服务(Task Scheduler service)在后台运行,并由 svchost.exe 进程来托管。任务计划程序服务允许用户创建、编辑和删除计划任务。用户可以通过图形用户界面(Task Scheduler GUI)、命令行工具(如schtasks)或编程接口来管理计划任务,用于在预定的时间或特定事件发生时自动执行一系列任务。
SCHTASKS /Create [/S system [/U username [/P [password]]]]
# 杀掉服务脚本 @echo off set TempFile=%TEMP%\sthUnique.tmp wmic process where name="md.exe" get processid,commandline | find "gf" >%TempFile% set /P _string=<%TempFile% set _pid=%_string:~32% echo %_pid% taskkill /f /pid %_pid% # 服务启动配置 打开任务计划程序,创建任务 📷 📷 📷 📷 # a
执行这几句powershell设置开机计划任务激活系统,每次开机时都会自动激活系统(不论在此之前是否激活状态)
https://docs.microsoft.com/en-us/lifecycle/products/windows-server-2008-r2
设置开机计划任务1分钟校时的原因是开机后第1次校时有时候要等若干分钟,校时成功后才会走公共镜像默认的ntp 5分钟校时,设置开机计划任务就是为了让开机后快速校时,不用等若干分钟(等若干分钟的原因见微软官网文档https://docs.microsoft.com/en-us/troubleshoot/windows-client/identity/w32time-not-start-on-workgroup )
远程win10经常卡在登录界面,我从微软官网收集了一些优化命令,vnc登录后,以管理员身份打开cmd命令行执行完这些命令后,运行services.msc找到远程服务(remote desktop services),重启它
通过winrm、自动化助手tat无法达到在系统内部执行命令的效果时,可以尝试这种办法:
QBot也称为QakBot,已经活跃了很多年。它最初被称为金融恶意软件,旨在窃取用户凭据和键盘记录来对政府和企业进行金融欺诈。近期在野捕获的Office Word文档中发现QBot变体,但未发现其传播方式。本文将分析它在受害者机器上的工作方式及其使用的技术。
把如下代码(具体化密码)另存为autologon.reg双击导入并重启机器即可实现自动登录(重启后打开vnc,发现已经自动登录到桌面)
参数: "C:\Windows\System32\schtasks.exe" /Create /TN "Updates\vsqbOQbkJjh" /XML "C:\Users\xxx\AppData\Local\Temp\tmpC0FD.tmp"'
法国国家网络安全机构 ANSSI 的专家近日发现了一种新型 Ryuk 勒索软件变种,该变种增加了蠕虫的功能,可以在本地网络中传播。
C:\Users\Administrator\Desktop\Server.exe
有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗?
背景:Windows计划任务调用jps.exe,达到的效果跟直接在命令行下调用不同,有时候又相同,摸不着规律
Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。普通情况下,通过计划任务实现持续性攻击不需要用到管理员的权限,但是如果你希望能获得更加灵活的操作,例如指定用户登录时或者系统空闲时执行某个任务,还是会需要用到管理员的权限。
计划任务的持久化技术可以手动实现,也可以自动实现。有效负载可以从磁盘或远程位置执行,它们可以是可执行文件、powershell脚本或scriptlet的形式。这被认为是一种旧的持久性技术,但是它仍然可以在red team场景中使用,并且由各种开源工具支持。Metasploit 的web_delivery模块可用于托管和生成各种格式的有效载荷。
样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
漏洞开发人员SandboxEscaper在微软最近一次安全更新之后的一周,放出了一个Windows操作系统的0day漏洞。该漏洞于去年8月份出现,能够使外部攻击者获取本地权限以及允许访客用户取得SYSTEM和TrustInstaller等全权限用户的文件。
学过徐老师《内网安全攻防:渗透测试实战指南》第五章的⼩伙伴都知道,巨硬为了防⽌密码在内存中以明⽂形式泄露,发布了KB2871997补丁,⽤来关闭Win7和08的Wdigest功能,同时Server2012版以上默认关闭该功能,但是仍然可以通过修改注册表的⽅法来⼿动开启。
IPC(Internet Process Connection) 共享"命名管道"的资源,是为了实现进程间通信而开发的命名管道。IPC可以通过验证用户名和密码获取相应权限。通过IPC、D、E……)和系统目录共享(Admin)。
Machete是一个由西班牙语组织开发的网络间谍工具集,自2010年以来一直处于活动之中。该组织持续为其恶意软件开发新功能。他们长期攻击的重点在拉丁美洲国家,多年来一直收集目标国家情报并改进他们的攻击策略。近期研究人员发现了一项持续的,针对性很强的攻击活动,其中大多数目标都是军事组织。
Linux下创建定时执行任务可使用crontab,系统默认自带crontab,在Ubuntu 16.04下进行演示说明。
没有公网的机器,内网 windows update参考https://cloud.tencent.com/document/product/213/2758
前言 在我们获得初始会话之后,我们需要考虑如何让我们的访问持久化。原因很简单,如果我们是通过利用漏洞进来的,对方可能察觉到痕迹然后修补漏洞,如果是通过泄漏的密码进来的,对方可能修改密码。 windows持久化 计划任务 计划任务,也可成为定时任务,指的是在指定的时间执行某项任务。 手工 创建计划任务 如:计划任务名称为zhi,1分钟后以system权限运行calc.exe schtasks /create /sc minute /mo 1 /tn zhi /tr "C:\Windows\sys
假使我们在windows上拿到目标的shell,为了方便模拟就上线了一个cs的shell
大家好,我是架构君,一个会写代码吟诗的架构师。今天说一说windows常用命令,希望能够帮助大家进步!!!
建议cloudbase-init的启动模式改为“本地系统账户”,目前发现.\cloudbase-init的启动模式存在explorer.exe异常的概率
Agent Tesla 最近一次的攻击部署在 RTF 文件里使用了多个 OLE 对象构建了复杂的感染链,虽然不是新技术手段,但在野利用仍然十分有效。
可以看一下对比,创建test用户,net user查看用户是可以看见的,而admin$,因为加了个$符号,用net user命令是看不见的。
攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难。
利用Windows自带的解析器:PowerShell、VBScript、批处理文件和JavaScript,对应的应用程序分别为powershell.exe、cscript.exe、cmd.exe和mshta.exe。利用上传或远程加载对应payload脚本,直接调用解析器运行(可以使用Invoke-Obfuscation或者 Invoke-DOSfuscation 等进行混淆) 用Windows自带的工具或脚本等原生工具实现执行恶意代码、启动程序、执行脚本、窃取数据、横向扩展、维持访问等,常用的有regsvr32.exe、rundll32.exe、certutil.exe、schtasks.exe、wmic.exe等,脚本类型的有:winrm.vbs、wmiexec.vbs、pubprn.vbs等
IPC(共享命名管道资源)其实就是为了实现进程间通信而开放的命名管道;它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
何为“后渗透”?就是获取到受害者服务器的权限后,再继续对受害者服务器进行长期攻击或者信息获取的一种持续性手段。常见的手段有,后门、影子账户、会话劫持等等。
领取专属 10元无门槛券
手把手带您无忧上云