wmic命令学习

wmic命令学习

wmic是一个十分强大的win管理工具,结合bat可用来处理很多系统的事情,或者收集系统信息。
内网里面常用的是用来执行远程程序:

先决条件:
a. 启动Windows Management Instrumentation服务,开放TCP135端口。
b. 本地安全策略的“网络访问: 本地帐户的共享和安全模式”应设为“经典-本地用户以自己的身份验证”。

net use后
copy 1.bat \\host\c$\windows\temp\1.bat
wmic /node:ip /user:test /password:testtest process call create c:\windows\temp\1.bat

基本命令格式

找过官网的资料,看完还是摸不着头脑。
https://technet.microsoft.com/en-us/library/cc779482(v=ws.10).aspx

wmic命令大概格式:
wmic + 全局开关 + 别名 + 条件语句 + 动词 + 动词的参数 + 动词开关

以此命令为列

wmic /node:ip /user:test /password:testtest process call create c:\windows\temp\1.bat
全局开关:

/node、/user、/password就是全局开关

/NAMESPACE 别名使用的名称空间路径。
/ROLE 包含此别名定义的角色路径。
/NODE 别名使用的服务器。
/IMPLEVEL 客户模拟级别。
/AUTHLEVEL 客户身份验证级别。
/LOCALE 客户应用的语言识别符。
/PRIVILEGES 启用或禁用所有特权。
/TRACE 将调试信息输出到 stderr。
/RECORD 将所有输入命令和输出写入日志。
/INTERACTIVE 设置或重设交互模式。
/FAILFAST 设置或重置 FailFast 模式。
/USER 会话期间使用的用户。
/PASSWORD 用于会话登录的密码。
/OUTPUT 为输出重新定向指定模式。
/APPEND 为输出重新定向指定模式。
/AGGREGATE 设置或重置集合模式。
/AUTHORITY Specifies the <authority type> for the connection.
/?[:<BRIEF|FULL>] Usage information.

官方资料:
https://technet.microsoft.com/en-us/library/cc787035(v=ws.10).aspx

别名:

process就是别名,强大的就是这个别名

ALIAS                    - 访问本地机器上的别名
BASEBOARD                - 基板 (也叫母板或系统板) 管理。
BIOS                     - 基本输入/输出服务 (BIOS) 管理。
BOOTCONFIG               - 启动配置管理。
CDROM                    - CD-ROM 管理。
COMPUTERSYSTEM           - 计算机系统管理。
CPU                      - CPU 管理。
CSPRODUCT                - SMBIOS 的计算机系统产品信息。
DATAFILE                 - DataFile 管理。
DCOMAPP                  - DCOM 程序管理
DESKTOP                  - 用户桌面管理。
DESKTOPMONITOR           - 监视器管理。
DEVICEMEMORYADDRESS      - 设备内存地址管理。
DISKDRIVE                - 物理磁盘驱动器管理。
DISKQUOTA                - NTFS 卷磁盘空间使用情况。
DMACHANNEL               - 直接内存访问(DMA)频道管理。
ENVIRONMENT              - 系统环境设置管理。
FSDIR                    - 文件目录系统项目管理。
GROUP                    - 组帐户管理。
IDECONTROLLER            - IDE 控制器管理。
IRQ                      - 间隔请求线 (IRQ) 管理。
JOB                      - 提供对使用计划服务安排的工作的访问。
LOADORDER                - 定义执行依存的系统服务管理。
LOGICALDISK              - 本地储存设备管理。
LOGON                    - 登录会话。
MEMCACHE                 - 缓存内存管理。
MEMLOGICAL               - 系统内存管理 (配置布局和内存可用性)。
MEMPHYSICAL              - 计算机系统物理内存管理。
NETCLIENT                - 网络客户端管理。
NETLOGIN                 - (某一用户的)网络登录信息管理。
NETPROTOCOL              - 协议 (和其网络特点) 管理。
NETUSE                   - 活动网络连接管理。
NIC                      - 网络界面控制器 (NIC) 管理。
NICCONFIG                - 网络适配器管理。
NTDOMAIN                 - NT 域管理。
NTEVENT                  - NT 事件日志的项目
NTEVENTLOG               - NT 时间日志文件管理。
ONBOARDDEVICE            - 母板(系统板)内置普通设适配器设备的管理。
OS                       - 已安装的操作系统管理。
PAGEFILE                 - 虚拟内存文件对调管理。
PAGEFILESET              - 页面文件设置管理。
PARTITION                - 物理磁盘分区区域的管理。
PORT                     - I/O 端口管理。
PORTCONNECTOR            - 物理连接端口管理。
PRINTER                  - 打印机设备管理。
PRINTERCONFIG            - 打印机设备配置管理。
PRINTJOB                 - 打印工作管理。
PROCESS                  - 进程管理。
PRODUCT                  - 安装包任务管理。
QFE                      - 快速故障排除。
QUOTASETTING             - 设置卷的磁盘配额信息。
RECOVEROS                - 当操作系统失败时,将从内存收集的信息。
REGISTRY                 - 计算机系统注册表管理。
SCSICONTROLLER           - SCSI 控制器管理。
SERVER                   - 服务器信息管理。
SERVICE                  - 服务程序管理。
SHARE                    - 共享资源管理。
SOFTWAREELEMENT          - 安装在系统上的软件产品元素的管理。
SOFTWAREFEATURE          - SoftwareElement 的软件产品组件的管理。
SOUNDDEV                 - 声音设备管理。
STARTUP                  - 用户登录到计算机系统时自动运行命令的管理。
SYSACCOUNT               - 系统帐户管理。
SYSDRIVER                - 基本服务的系统驱动程序管理。
SYSTEMENCLOSURE          - 物理系统封闭管理。
SYSTEMSLOT               - 包括端口、插口、附件和主要连接点的物理连接点管理。
TAPEDRIVE                - 磁带驱动器管理。
TEMPERATURE              - 温度感应器的数据管理 (电子温度表)。
TIMEZONE                 - 时间区域数据管理。
UPS                      - 不可中断的电源供应 (UPS) 管理。
USERACCOUNT              - 用户帐户管理。
VOLTAGE                  - 电压感应器 (电子电量计) 数据管理。
VOLUMEQUOTASETTING       - 将某一磁盘卷与磁盘配额设置关联。
WMISET                   - WMI 服务操作参数管理。
条件语句
WMIC FSDIR WHERE Name='c:\\WINDOWS'

类似sql里面的where语句,用于查询时匹配为真的数据
其中键名可这样获取,前面的都是key

C:\Users\l3m0n>WMIC FSDIR WHERE Name='c:\\phpstudy' list full

AccessMask=
Archive=FALSE
Compressed=FALSE
CompressionMethod=
CSName=L3M0N3115
Description=c:\phpstudy
Drive=c:
EightDotThreeFileName=c:\phpstudy
Encrypted=FALSE
EncryptionMethod=
Extension=
FileName=phpstudy
FileSize=
FileType=File Folder
FSName=NTFS
Hidden=FALSE
InstallDate=20160520132123.163000+480
InUseCount=
LastAccessed=20160520132129.683800+480
LastModified=20160520132129.683800+480
Name=c:\phpstudy
Path=\
Readable=TRUE
Status=OK
System=FALSE
Writeable=TRUE
动词 + 动词参数 + 动词开关

动词:
assoc 返回查询结果
call 执行方法
CREATE 创建一个新实例,并为新实例设置属性值,不能新的类
DELETE 删除实例
GET 获取特定属性
LIST 数据显示
SET 属性操作

动词参数:
BRIEF 简介
FULL 全部信息
INSTANCE 实例
STATUS 对象的状态和相关属性
SYSTEM 系统实例
Alias-specific or user format 过提供不同的属性列表和一个用于显示它们的格式
WRITEABLE 对象的可写的属性

动词开关:

1、 list动词开关

/TRANSLATE:<translation table>
/EVERY:<interval>
/FORMAT:<format specifier>

2、 get动词开关

/VALUE
/ALL
/TRANSLATE:<translation table>
/EVERY:<interval>
/FORMAT:<format specifier>

3、 Assoc动词开关

/RESULTCLASS:<classname>
/RESULTROLE:<rolename>
/ASSOCCLASS:<assocclass>

官方资料:
https://technet.microsoft.com/en-us/library/cc784966(v=ws.10).aspx

比较常用的是导出信息:
/format:hform >>1.html

常见wmic命令

进程信息

进程信息:

wmic process list brief

获取进程路径:

wmic process where name="jqs.exe" get executablepath

wmic 创建新进程

wmic process call create notepad
wmic process call create "C:\Program Files\Tencent\QQ\QQ.exe"
wmic process call create "shutdown.exe -r -f -t 20"

wmic 删除指定进程:

wmic process where name="qq.exe" call terminate
wmic process where processid="2345" delete
wmic process 2345 call terminate

wmic 删除可疑进程

wmic process where "name='explorer.exe' and executablepath<>'%SystemDrive%\\windows\\explorer.exe'" delete
wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate
账号管理

更改当前用户名

WMIC USERACCOUNT where "name='%UserName%'" call rename newUserName
WMIC USERACCOUNT create /?
服务管理

更改telnet服务启动类型[Auto|Disabled|Manual]

wmic SERVICE where name="tlntsvr" set startmode="Auto"

运行telnet服务

wmic SERVICE where name="tlntsvr" call startservice

停止ICS服务

wmic SERVICE where name="ShardAccess" call stopservice

删除test服务

wmic SERVICE where name="test" call delete
目录管理

列出c盘下名为test的目录

wmic FSDIR where "drive='c:' and filename='test'" list

删除c:\good文件夹

wmic fsdir "c:\\test" call delete

重命名c:\test文件夹为abc

wmic fsdir "c:\\test" rename "c:\abc"
wmic fsdir where (name='c:\\test') rename "c:\abc"

复制文件夹

wmic fsdir where name='d:\\test' call copy "c:\\test"
计划任务(后门)
wmic job call create "notepad.exe",0,0,true,false,********154800.000000+480
wmic job call create "explorer.exe",0,0,1,0,********154600.000000+480
posted @ 2016-07-28 12:17  l3m0n  阅读(1274)  评论(0)    收藏  举报
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
L3m0n
点击右上角即可分享
微信分享提示