[Win基础]-5-一次惊险的实战-Powershell和cmd基础

引言

这篇文章通过视频演示模拟后渗透测试,来理解Window中引进的Powershell与CMD在命令上的区别,大家可以根据实际情况,合理的使用能够使用的任何系统原生工具来完成我们的渗透,第三方工具借助的越少,就越不容易留下痕迹。

文章目录

0×1.Powershell和cmd命令区别对比

首先,根据官方描述,PowerShell 是一种跨平台的任务自动化解决方案,由命令行 shell、脚本语言和配置管理框架组成。 PowerShell 在 Windows、Linux 和 macOS 上都能运行。

也就是说,Powershell其实是一个可以装在各种操作系统上,独立于系统存在的一个Shell,并不像CMD那样是Windows的原生命令行工具,只是Win10后的系统都默认安装了这个Powershell。

用到的命令:

					
					# 1.程序在执行过程中,程序文件无法删除,因为它执行在内存中,并且会创建一个进程
					#下面是cmd和powershell查看进程的命令的演示

					//cmd下可以通过
					C:\Windows\System32> tasklist /svc

					//powershell下可以通过 tasklist /svc或Get-Process
					//在cmd中切换到powershell只需要输入powershell回车即可切换,切换过去后,提示符前面会出现PS字样
					C:\Windows\System32> powershell
					//获取内存进程名称包含regedit的进程信息
					PS C:\Windows\System32> Get-Process -Name "regedit"
					//获取内存进程名称包含whoami的进程信息,支持通配符*,例如"whoami*"就能显示whoami开头的所有进程
					PS C:\Windows\System32> Get-Process -Name "whoami"

					# 2.在登录windows server2022远程桌面时需要多人同时登录,可以通过修改注册表搞定

					//方法1:通过图形界面
					//开始-运行-输入regedit打开注册表
					//HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
					//在右边找到  fSingleSessionPerUser  把值由1改为0

					//方法2:通过命令
					//cmd通过reg命令查询
					C:\Windows\System32> reg query "hklm\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser
					//通过reg命令修改
					C:\Windows\System32> reg add "hklm\SYSTEM\CurrentControlSet\Control\Terminal Server" /t REG_DWORD /v fSingleSessionPerUser /d 0

					//powershell通过reg命令,或者通过下面的命令查询
					//查询
					PS C:\Windows\System32> Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fSingleSessionPerUser'
					//修改
					PS C:\Windows\System32> Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fSingleSessionPerUser' -Value '0'

					#3.cmd和powershell关闭进程演示

					//CMD方法
					C:\Windows\System32> taskkill /im PID /F
					
					//powershell方法
					//一次性关闭所有whoami开头的进程
					PS C:\Windows\System32> ps -name whoami* | Stop-Process -force
					//精准匹配,只关闭whoami.exe,注意在PowerShell中,进程名称不需要携带.exe后缀,查询也是如此
					PS C:\Windows\System32> ps -name whoami | Stop-Process -force

在后面几篇文章中,会详细介绍到Powershell对进程的操作,这里稍作了解,知道Powershell和CMD的不同即可。

0×2.后渗透测试模拟实战视频演示

点击下方视频标题,可以进入B站观看高清版本

【第9天】Windows基础-9-一次惊险的实战操作?powershell和cmd的基础应用,开启多人win远程桌面~大一女新生挑战一年精通网络安全-信息安全-计算机安全-计算机技术-黑客技术-渗透测试,我无所畏惧