史上最全的Windows高危命令,大家可以收藏学习,但不要用来搞破坏,谢谢!
IT人员可以对这些命令进行下组策略来禁用,防护好网络。
| 命令 | 作用 | 危害 |
|---|---|---|
| arp | 查看和设置ARP缓存 | ARP污染攻击 |
| assoc | 查看和设置文件后缀名关联 | 文件后缀名关联被改了,双击打开该类文件可能会唤起另一种程序 |
| at | 在特定机器安装定时任务 | APT攻击或逻辑炸弹 |
| attrib | 显示和设置文件属性 | 可用于隐藏恶意文件 |
| auditpol | 查看和设置audit策略 | 恶意用户可清除audit策略躲避检测 |
| bcdboot | 可以快速设置系统分区,或修复位于系统分区上的引导环境 | 设置错误分区,导致无法启动 |
| bcdedit | 修改启动项 | 设置启动项,从而使得重启加载恶意程序 |
| bdehdcfg | 查看和设置分区的bitlocker | 可利用来对分区加密而勒索 |
| bitsadmin | 用于创建,下载和上传作业 | 可利用于下载恶意文件和横向移动 |
| bootcfg | 修改系统启动项(boot.ini文件) | 设置启动项,从而使得重启加载恶意程序 |
| cacls, icacls | 设置文件ACL | 可用于恶意文件驻留 |
| certreq | Certreq命令可用于向证书颁发机构(CA)请求证书、从CA检索对先前请求的响应、从.inf文件创建新请求、接受并安装对请求的响应、从现有CA证书或请求构造交叉认证或合格从属请求,以及签署交叉认证或合格从属请求。 | 可用于安装恶意证书 |
| certutil | 转储和显示证书颁发机构(CA)配置信息,配置证书服务,备份和还原CA组件,以及验证证书、密钥对和证书链。 | 泄露证书 |
| change, chglogon, chgport, chgusr, flattemp, logoff, msg, qappsrv, qprocess, query, quser, qwinsta, rdpsign, reset session, rwinstat, shadow, tscon, tsdiscon, tskill, tsprof | 远程桌面命令集 | 横向移动 |
| chkdsk | 检查磁盘 | 频繁使用影响系统性能 |
| cipher | 显示和加解密某些文件和目录 | 加密数据用于勒索 |
| cmd | 开启一个新的cmd | 用于反弹shell |
| cmdkey | 获取,删除和新建保存的凭据或用户密码 | 获取主机或业务系统的凭证,用于横向移动或密码爆破 |
| cmstp | 安装和删除连接管理服务配置 | 安装可疑服务配置 |
| convert | 转换磁盘类型 | 破坏磁盘 |
| cscript | 执行脚本,不仅是bat | 执行其它语言的恶意脚本 |
| date | 显示或查看机器日期 | 篡改日期,导致依赖时间的服务异常 |
| dcgpofix | 重新创建域的默认组策略对象(GPO) | 重置域的组策略,从而横向移动或安装后门 |
| defrag | 磁盘碎片整理 | 频繁使用影响系统性能 |
| dfsdiag | 获取分布式文件系统的信息 | 黑客可用于信息搜集 |
| dfsrmig | 分布式文件系统的复制工具 | 黑客用于窃取数据 |
| diskpart | 管理系统分区 | 毁坏磁盘数据 |
| diskshadow | 磁盘shadow配置 | 毁坏shadow数据 |
| dnscmd | 管理DNS服务器 | 域名劫持 |
| doskey | 获取命令历史或改变命令别名 | 篡改命令别名和泄露用户命令历史 |
| driverquery | 获取某台机器驱动程序和属性(版本,运行状态) | 用于信息搜集,针对有缺陷的驱动攻击 |
| exec | 运行cmd脚本 | 运行恶意脚本 |
| finger | 获取用户在某台机器的信息 | 信息搜集 |
| format | 格式化磁盘 | 破坏磁盘数据 |
| ftp | ftp客户端 | 数据外发 |
| ftype | 指定某种后缀名文件默认由什么程序打开,可和assoc命令联合使用配置一种新后缀打开 | 篡改默认打开程序 |
| gpfixup | 修复组策略的DNS依赖关系 | DNS劫持 |
| gpresult | 显示远程用户和计算机的策略结果集(RSoP)信息 | 信息搜集 |
| klist | 显示缓存的kerberos票据 | 票据爆破 |
| ksetup | 执行与设置和维护Kerberos协议以及密钥分发中心(KDC)以支持Kerberos领域相关的任务 | 攻陷整个权限系统 |
| ktpass | 允许支持Kerberos身份验证的非Windows服务使用Kerberos密钥分发中心(KDC)服务提供的互操作性功能 | 权限添加,可以把数据从一台无外发权限的机器拖放到另外一台有外网访问的机器(如web服务器) |
| makecab | 打包文件成为.cab文件 | 打包外发 |
| manage-bde | 打开或关闭bitlocker | 加密磁盘进行勒索 |
| mmc | Microsoft管理控制台 | 有mmc snap-ins漏洞可捕获NTLM hash |
| mqbkup | 备份或恢复MSMQ文件 | 可利用恶意备份覆盖现有连接,创建隐蔽通道 |
| mqsvc | 创建MSMQ | 创建隐蔽通道 |
| mqtgsvc | 监控MSMQ和相应管控 | 创建隐蔽通道 |
| msiexec | 安装软件 | 安装恶意软件 |
| mstsc | 连接远程桌面 | 横向移动 |
| netsh, net | 允许本地或远程修改电脑和获取AD域信息 | 信息搜集和横向移动 |
| ntfrsutl | 从本地和远程服务器转储NT文件复制服务(NTFRS)的内部表、线程和内存信息 | 获取敏感信息 |
| openfiles | 要查询、显示或断开系统上已打开的共享 | 信息搜集和横向移动 |
| path | 设置PATH环境变量 | 命令注入 |
| pathping | 检查网络路由问题 | 用于路径探测 |
| ping | 网络诊断 | ping flood |
| pnputil | 查看,安装和卸载驱动 | 用于安装rootkit |
| recover | 恢复文件 | 频繁使用影响系统性能 |
| refsutil | 诊断磁盘问题和修改启动区 | 引起性能问题或损坏所有数据 |
| reg | 操作注册表 | 恶意软件注入或破坏系统 |
| regini | 通过配置文件来修改注册表 | 恶意软件注入或破坏系统 |
| regsvr32 | 往注册表里注册dll | 恶意软件注入 |
| robocopy | 机器间可靠性拷贝文件 | 文件外发 |
| route | 查看和修改路由 | 创建隐蔽通道 |
| rpcinfo | 列举远程机器的软件 | 信息搜集 |
| rpcping | 确保exchange服务端和客户端的连通性 | 信息发现 |
| rundll32 | 运行dll | 运行恶意程序 |
| san | 显示或配置SAN网络策略 | 导致SAN下线,影响业务 |
| sc | 操作注册表和服务管理中心 | 添加后门或停止关键服务 |
| schtasks | 定时任务 | 添加后门 |
| scwcmd | 设置安全配置向导(本地或远程) | 绕过检测或导致日常工作不可行 |
| secedit | 设置系统安全配置 | 覆盖系统安全配置 |
| servermanagercmd | 查看,安装和删除角色、角色服务和功能 | 创建隐藏角色 |
| set,setx | 设置环境变量 | 恶意软件注入 |
| shutdown | 关闭或重启电脑 | 加载恶意驱动或服务停止 |
| start | 打开新的cmd窗口 | 反弹shell |
| taskkill | 杀死进程 | 杀死关键进程,导致停服 |
| tasklist | 列举本地或远程进程 | 信息搜集 |
| telnet | 远程连接 | 数据外发,横向移动 |
| tftp | 文件传输 | 数据外发 |
| time | 显示或设置时间 | 篡改时间,导致依赖时间的服务异常 |
| tlntadmn | 管理本地或远程的telnet服务 | 创建隐蔽通道 |
| tpmvscmgr | 创建或删除TPM虚拟智能卡 | 创建隐蔽通道 |
| tracert | 获取路由 | 信息发现 |
| vssadmin | 对当前的shadow进行配置 | 停止shadow |
| waitfor | 发送或等待一个信号 | 获得远程脚本执行状态 |
| wbadmin | 系统备份管理 | 用坏备份覆盖系统 |
| wdsutil | 通过镜像部署windows机器 | 用恶意镜像制作肉鸡 |
| whoami | 显示用户和组 | 信息嗅探 |
| winrs | windows远程管理,允许远程管理和执行程序 | 横向移动 |
| wmic | 显示WMI信息 | 信息嗅探 |
| wscript | 执行脚本,不仅是bat | 执行其它语言的恶意脚本 |
请关注我,转发和点“在看”,谢谢!
请帮忙点击广告!
暗号:26b89
文章来源: http://mp.weixin.qq.com/s?__biz=MzU4NjY0NTExNA==&mid=2247488296&idx=1&sn=aad53852fb943b43e3e537b1818fe5e4&chksm=fdf9783dca8ef12b5aaffc35a454ad66b837da0b4678e58ffde7b43477a512fb729e920e6164#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh