墨痕诉清风的博客

net stop windefend

netstat -ano |findstr "端口号"

Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::logonPasswords full"' //获取密码。有时当获得权限时无法使用mimikatz.exe时，可以考虑使用Invoke-Mimikatz.ps1脚本获取想要的数据。Import-Module .\Invoke-Mimikatz.ps1 //导入命令。Set-ExecutionPolicy Unrestricted //打开限制。

【代码】下载后直接运行ps1脚本（脚本文件不存入本地硬盘）

SeImpersonatePrivilege权限提权

snmp服务利用（端口：161、199、391、705、1993）

烂土豆提权（SweetPotato.exe ）

任何经过身份验证的用户都将拥有对该文件的读取权限。作为低权限用户，我们不太希望将恶意 DLL 放在 1-4 中，在这种情况下 5 是不可能的，因为我们谈论的是 Windows 服务，但如果我们对 Windows PATH 中的任何目录具有写入权限我们赢了。为了简化事情，我创建了一个脚本，它可以放在目标机器上，它将使用 WMIC 提取以下信息：进程、服务、用户帐户、用户组、网络接口、硬盘驱动器信息、网络共享信息、安装的 Windows补丁、启动时运行的程序、已安装软件的列表、有关操作系统和时区的信息。

获取本地电脑连接的所有WIFI密码（适合Windows 11/10/8/7）

echo %cd%或chidir。

Powershell工具Powercat（可以理解为免杀nc）

Windows通过端口查看进程路径

域文件sysprep.xml作用

WinRM远程管理服务渗透利用（端口：5985）

Windows域漏洞zerologin（小于Windows Server 2019）

Windows反弹shell乱码

Windows命令行环境变量修复（修复Powershell）

Windows打开远程桌面命令（打开RDP）

在获得反弹shell后无法得到明文密码，无法远程桌面登录。在目标机器创建新的账号，且为管理员账号，可以远程桌面登录。

域本地组：来自全林，作用于本域全局组：来自本域，作用于全林通用组：来自全林，作用于全林域本地组管理员组(Administrators)：该组的成员可以不受限制地存取计算机/域内的资源。它不仅是最具权利的一个组，也是在活动目录和域控制器中默认具有管理员权限的组。该组的成员可以更改 Enterprise Admins、Schema Admins 和 Domain Admins 组的成员关系，是域森林中年强大的服务管理组。远程登录组(Remote Desktop Users)：该组的成员具有远程登录权限。

Windows电脑密码忘记解决方法

利用内核或第三方驱动漏洞时，可能造成蓝屏，因此应小心调查系统、版本、架构等信息1. 检查系统版本、架构2. 枚举系统驱动3. 搜索已知漏洞4. 查询USBPcap版本5. 编译漏洞利用代码Mingw-64 既 Windows 版本GCC，可以编译32/64位程序下载Mingw-64，解压设置系统环境变量PATH6. 编译 exp 代码，并执行提权成为 systemexploit。

dll 劫持是也是绕过 UAC 常用的方法，在 UACME 项目中很多绕过方法都是使用 dll 劫持。dll 劫持也是一个比较大的主题。一般操作如下，假设受信任的程序 c:\windows\system32\test\test.exe 会加载 c:\windows\system32\test.dll （不在 KnowsDLLS里面），

Windows提权笔记-服务路径未用引号闭合

Windows提权笔记-不安全文件权限Serviio案例研究

用户帐户控制（UAC）是Microsoft在Windows Vista和Windows Server 2008中引入的访问控制系统。尽管UAC已经被讨论和调查了很长时间，但必须强调的是，微软并不认为它是一个安全边界。相反，UAC强制应用程序和任务在非管理帐户的上下文中运行，直到管理员授权提升的访问权限。它将阻止安装程序和未经授权的应用程序在没有管理帐户权限的情况下运行，并阻止对系统设置的更改。通常，UAC的效果是，任何希望执行具有潜在系统范围影响的操作的应用程序都不能默默地执行。至少在理论上是这样。

系统通过消息映射 ON_COMMAND_EX_RANGE(ID_FILE_MRU_FILE1, ID_FILE_MRU_FILE16, OnOpenRecentFile)命令更新机制根据ON_UPDATE_COMMAND_UI(ID_FILE_MRU_FILE1, OnUpdateRecentFileMenu)将经常调用到。MFC建立的标准框架程序中有记录最近操作文件的能力，这些最近文件的路径被记录到注册表，在程序运行时，又将添加到文件菜单中。②记录的保存、CRecentFileList的销毁。

我们平时大多采用Regedit注册表编辑器来实现对注册表的修改操作，但是这种手工操作费时费力，当你要对多台PC统一修改注册表时，就要怨念了。并且在某些情况下，如果注册表编辑器被禁用了，那么这种方法也会失效。于是，推荐大家使用REG文件来快速完成注册表的修改。REG文件实际上是一种注册表脚本文件，Regedit注册表编辑器可以使用REG文件来导入、导出注册表的子项和值。双击REG文件（即用Regedit.exe 注册表编辑器程序运行该文件）即可将其中的数据导入到注册表中。

listeners 监听器接收来自 agent 的入站连接（相当于 msf 的multi/handler）stagger 工作在目标主机上，回连 listeners，进而传输分阶段的 Payload。

net accounts

已知有了SPN服务的账号密码、hash，完全可以自己伪造票据，告诉服务我就是域管理员组的账号，这样本来不是域管理员的账号票据伪造成了有域管理员权限的票据，这样就可以以域管理员权限访问应用，执行提权（比如SQL存储过程）impacket-GetUserSPNs oscp.com/bob:爆破后的明文密码 -dc-ip 域控IP -request。其中S-1-5-21-3899693302-4162102969-3668018254为域SID，1110为用户RID不用。

1. 第一个票据TGT为客户端身份2. 第二个票据ST为访问服务票据，是否可访问。

或 powershell.exe -NoP -NonI -Exec Bypass .\PowerView.ps1（用这个）* 当前登录账号的HASH缓存在内存中，找到属于高权限组的账号（Domain Admins）或者使用 NetSessionEnum 查询服务器上的活动用户会话（普通域用户权限即可）域通常使用组账号简化权限管理，枚举高权限组成员（Domain Admins）从工作站本地管理员，提权到服务器管理员，再提权到域管理员（连锁提权）AD域只要管理一份身份系统，即可管理所有服务上的所有身份信息。

netsh interface ip set dns [name=]"本地连接" [source=]static [addr=]218.85.157.99 [register=]primary。netsh interface ip add dns [name=]"本地连接" [source=]static [addr=]202.101.98.55 [index=]2。netsh interface ip set dns [name=]"本地连接" [source=]dhcp。addr：要设置的IP地址。

将sqladmin加入最高权限组Domain Admins，模拟安装应用的管理员使用账号，该账号为数据库安装启用使用，但是该账号权限过大，往往不需要域管理员这么大的权限，算是一个风险点安全隐患，如果从应用端获取到了该账号既拿下域控。一般没人用Administrator，因为风险太大了所以都会已自己名字命名一个域管理员账号，johndoe就是我们创建的域管理员账号做实例。* 这里的作用是组策略，当创建一个策略后，凡是加入到该域里所有计算机都会默认继承策略，进行配置集中管理。

【代码】Windows 枚举系统注册信息（wmic）

【代码】Windows 枚举用户启动信息（wmic）

【代码】Windows枚举所有ip信息（wmic）

【代码】Windows枚举所有用户组（wmic）

【代码】Windows枚举所有用户信息（wmic）