黑客力量学习笔记PSTOOLS工具

1●PSTOOLS工具的特点包括：1．可以运行在WINNTBASED操作系统（NT/2000/XP/2003）上，不用在本地安装，不用在远程计算机上安装客户端。2．只要先建立了IPC$共享，在执行该工具中每个命令时，都会使用当前建立IPC$共享的这个账户身份来执行，而不必再使用-U、-P参数指定账户的用户名、密码。netuse\\72.56.17.74\ipc$jck704zcy/user:zcy3．部分工具可以运行的前提条件是远程计算机必须开启ADMIN$管理共享和启动REMOTEREGISTRY服务（服务名称是REMOTEREGISTRY）。4．允许用@FILE参数指定多个计算机。即可以同时对多个计算机进行操作。●PSEXEC：远程运行程序。是一个轻量级的TELNET替代工具，可以让你完全采用交互式的命令控制台在远程主机上执行命令，不用手工安装任何客户端。最强大的用法是在远程计算机上启动交互式的命令提示符（很像TELNET）和远程使用一些没有远程功能的工具（即远程执行一些远程主机上的命令，并将结果显示给本地主机；或者将本地主机的文件复制到远程主机上并执行）。psexec[\\computer[,computer2[,...]|@file][-uuser[-ppsswd]][-ns][-l][-s|-e][-x][-i[session]][-c[-f|-v]][-wdirectory][-d][-priority][-an,n,...]cmd[arguments]参数含义-s在系统账户（SYSTEM账户）下运行远程进程。-e加载指定账户的策略配置文件。-i运行程序以便该程序与远程操作系统中指定会话的桌面交互。如果没有指定的会话，进程会运行在CONSOLE（控制台）会话中。-l以受限用户身份（去除Administrators组的权限，并且只允许使用分配给Users组的权限）运行进程。在WindowsVista上，此进程将以“低完整性”运行。-c复制指定的程序到远程计算机操作系统以便执行。如果你省略了这个选项，那么指定的程序必须位于远程计算机操作系统的系统路径中。-n指定连接远程计算机的超时秒数。（超过即为超时）-f强制复制指定的程序到远程系统，即使远程计算机上已经存在该文件。-v仅在指定文件具有更高版本号或该（本地）文件比远程系统上的文件新时，才复制该文件。-d不等待应用程序终止。请只对非交互式应用程序使用此选项。-w设置进程的工作目录（相对于远程计算机）。-x在登录桌面上显示用户界面（仅限于本地系统）。2-priority指定–low、-belownormal、-abovenormal、-high或-realtime，以便按不同优先级运行进程。-a用逗号分隔的可以运行应用程序的处理器，CPU编号最小为1。例如，要在CPU2和CPU4上运行应用程序，请输入：“-a2,4”arguments要传递的参数（请注意，文件路径必须是目标系统中的绝对路径）。如果要运行的程序在远程系统中，但不在远程系统的系统路径中，请指定该程序的完整路径。对于其名称中含有空格的应用程序，可以在其两侧加引号，例如，psexec\\marklapc:\longname\app.exe。按下Enter键时，仅将输入内容传递到远程系统。键入Ctrl-C可终止远程进程。如果省略用户名，则远程进程将以执行PsExec时所使用的相同帐户运行，但由于远程进程以模仿方式运行，因此它无权访问远程系统上的网络资源。指定用户名时，远程进程将以指定的帐户执行，并可访问该帐户有权访问的任何网络资源。请注意，密码是以明文形式传递到远程系统的。当目标系统是本地系统时，由于PsExec不需要您具有管理员权限，因此您可以使用当前版本的PsExec来取代Runas。常用：Psexec\\72.56.17.74cmd启动远程计算机上的交互命令提示符（就是一个SHELL）。在远程计算机上没有任何界面，这个提示符显示在本地计算机上。这个命令最重要。3Psexec\\72.56.17.74cmd/cdirc:\要运行远程计算机上的DOS命令，只能以上述形式运行。因为DOS命令没有对应的可执行文件。Psexec\\72.56.17.74–i–dcalc在远程计算机上启动计算器程序。（执行后，在本地该命令一直处于运行状态，直到远程计算机上计算器程序终止，本地命令才退出运行状态。）测试中发现，使用-i参数执行交互程序时，只有等到远程计算机上退出该程序，本地才会退出运行界面。当在远程计算机上执行calc、notepad等有交互界面的程序且不同时带-i-d参数时，该命令在远程计算机没有任何显示，在本地也一直不能退出。直到在远程主机上在或在本地远程删除指定进程，该命令才退出。当在远程计算机上执行calc、notepad等有交互界面的程序，且同时带-i-d参数时，该命令在远程计算机显示，在本地一直不能退出。直到在远程主机上退出交互界面或删除指定进程，或在本地远程删除指定进程，该命令才退出。4PsExec-i-d-sCMD以SYSTEM帐户身份打开另一个CMD窗口。这是得到SYSTME权限SHELL的两种方法之一，也是最快速的方法。●PSFILE：显示指定计算机上被远程系统打开的文件列表，也可以关闭这些打开的文件。psfile[\\RemoteComputer[-uUsername[-pPassword]]][[Id|path][-c]]ID（PSFILE分配的）被远程打开的文件的ID。Path被远程打开的文件的全部或部分路径。-c按照ID或路径关闭被远程打开的文件。●PSGETSID：得到本地或远程计算机中计算机和用户的SID（安全标识符）。psgetsid[\\computer[,computer[,...]|@file[-uusername[-ppassword]]][account]常用：psgetsid\\72.56.17.74得到远程计算机72.56.17.74的SID。psgetsid\\72.56.17.74zcy得到远程计算机72.56.17.74上zcy用户的SID。5●PSINFO查询本地和远程计算机系统信息。psinfo[\\computer[,computer[,...]|@file[-uusername[-ppassword]]][-h][-s][-d][-c[-tdelimter]]参数含义-h增加显示已安装的补丁信息。【控制面板】→【添加或删除程序】→启用【显示更新】，之后就可以查到。-s增加显示已安装的软件信息。【控制面板】→【添加或删除程序】。-d增加显示磁盘信息。【控制面板】→【计算机管理】→【存储】→【磁盘管理】。-c以CSV格式显示。-t设置其他符号为分隔符。常用：psinfo\\72.56.17.74psinfo\\72.56.17.74–h6psinfo\\72.56.17.74–s7psinfo\\72.56.17.74–d●PSLIST：显示本地和远程计算机的进程信息。pslist[-?][-d][-m][-x][-t][-s[n][-rn][\\computer[-uusername][-ppassword]][[-e]name|pid]-d显示系统上所有活动线程的详细信息，包括组线程及其子进程。-m显示每个进程的内存方面的信息，而不是默认的CPU方面的信息。-x显示每个指定进程的CPU、内存、线程信息。-t显示进程树。-s[n]在指定的秒数内，以任务管理器模式运行。按ESC退出。8-r任务管理器模式更新率。单位是秒，默认是1秒。name仅显示以指定名称开始的进程的相关信息。-e与进程名称精确匹配，而不是开头部分匹配。常用：pslist\\72.56.17.74pslist\\72.56.17.74–dpslist\\72.56.17.74-m9pslist\\72.56.17.74–xpslist\\72.56.17.74-tpslist\\72.56.17.74-s50010pslist\\72.56.17.74s仅显示以s开始的进程的相关信息。●PSKILL：杀掉本地和远程计算机上指定的进程。pskill[-t][\\computer[-uusername][-ppassword]]processname|processid-t删除进程及其子进程。Processid指定进程的ID。Processname指定进程的名称。常用：pskill\\72.56.17.74-t182011●PSLOGGEDON：查看指定计算机的本地及远程登录的用户和登录时间。psloggedon[-?][-l][-x][\\computername|username]-l只显示本地登录情况。如果不使用该参数则同时显示本地登录和远程登录情况。-x不显示登录时间。如果不使用该参数则显示登录时间。一般使用。-username指定一个用户名。命令自动搜索该用户账户在哪个计算机上登录了。一般不使用。常用：psloggedon\\72.56.17.74psloggedon\\72.56.17.74-x12●PSLOGLIST：事件日志转储及管理。对于黑客来说，最大的用处是能在命令行下远程清除系统日志。psloglist[\\computer[,computer2[,...]|@file][-uusername[-ppassword]]][-s[-tdelimiter]][-m#|-n#|-d#|-h#|-w][-c][-x][-r][-amm/dd/yy][-bmm/dd/yy][-ffilter][-iID,[ID,...]]|-eID,[ID,...]][-oeventsource[,eventsource[,...]]][-qeventsource[,eventsource[,...]]][[-g|-l]eventlogfile]eventlog-a仅转储指定日期之后的记录。-b仅转储指定日期之前的记录。-c显示记录后清除事件日志。-d仅显示近几天以内的记录。-e排除具有指定的一个或多个id(最多10个)记录。-f用过滤字符串过滤事件类型。（例如”-fw”过滤警告类型事件）-g将事件记录输出为evt文件。只能与-c参数配合使用。-h仅显示近几小时以内的记录。-i仅显示具有指定的一个或多个id（最多10个）的记录。-l从指定的事件记录文件转储记录。-m仅显示近几分钟以内的记录。-n仅显示近几个事件记录。-o仅显示来源于指定事件来源的记录。（例如”-ocdrom”）-q排除来源于指定事件来源的记录。-r按照从最早到最近的顺序转储事件记录。（即颠倒顺序转储）-s以“一行一条”的方式显示记录，字段间用逗号分隔。这种格式对于文本搜索很方便。例如psloglist|findstr/Itext，也可以输出到空白表中。-t默认的分隔符是逗号，但是可以用该参数指定其他的分隔符。-w等待新事件，以便实时地转储新产生的事件记录。-x转储扩展数据。eventlog默认情况下显示的是system事件日志中的记录。通过输入日志长名称13（application,system,security）的前几个字符就可以指定不同的事件日志。常用：psloglist\\72.56.17.74application-cnulpsloglist\\72.56.17.74system-cnulpsloglist\\72.56.17.74security-cnulfor%ain(applicationsystemsecurity)do@psloglist\\72.56.17.74%a-cnul2nulfor%ain(applicationsystemsecurity)do@psloglist%a-cnul2nul上述语句可以同时清除多个日志（且执行后没有任何显示）。●PSPASSWD：修改本地或远程计算机任意用户账户的密码。增强了NETUSER命令，NETUSER命令不能远程修改用户账户的密码。