PSTools使用说明大全

1 PSTools 使用说明大全使用说明大全 在网络攻击中 经常用到一个工具系列叫 pstools 它是由 Sysinternals 公司推出的一个功能 强大的 Windows NT 2000 远程管理工具包 包含系列工具如下 PsExec 远程运行程序 PsFile 显示远程打开的文件 PsGetSid 显示计算机或用户的 SID PsKill 根据进程名或进程 ID 杀进程 PsInfo 显示系统有关信息 PsList 显示详细的进程信息 PsLoggedOn 显示通过资源共享登陆到本地 PsLogList 导出日志文件 PsPasswd 更改用户密码 PsService 查看和控制服务 PsShutdown 关闭或重启远程计算机 PsSuspend 终止进程 PsUptime 最后重启后系统运行的时间 PSTOOLS 工具的特点包括 1 可以运行在 WIN NT BASED 操作系统 NT 2000 XP 2003 上 不用在本地安装 不用在远程计算机上安装客户端 2 只要先建立了 IPC 共享 在执行该工具中每个命令时 都会使用当前建立 IPC 共 享的这个账户身份来执行 而不必再使用 U P 参数指定账户的用户名 密码 net use 72 56 17 74 ipc jck704zcy user zcy 3 部分工具可以运行的前提条件是远程计算机必须开启 ADMIN 管理共享和启动 REMOTE REGISTRY 服务 服务名称是 REMOTEREGISTRY 4 允许用 FILE 参数指定多个计算机 即可以同时对多个计算机进行操作 PSEXEC 远程运行程序 是一个轻量级的 TELNET 替代工具 可以让你完全采用交互式的命令控制台在远程主 机上执行命令 不用手工安装任何客户端 最强大的用法是在远程计算机上启动交互式的命令提示符 很像最强大的用法是在远程计算机上启动交互式的命令提示符 很像 TELNET 和远程使 和远程使 用一些没有远程功能的工具 即远程执行一些远程主机上的命令 并将结果显示给本地主用一些没有远程功能的工具 即远程执行一些远程主机上的命令 并将结果显示给本地主 机 或者将本地主机的文件复制到远程主机上并执行 机 或者将本地主机的文件复制到远程主机上并执行 2 psexec computer computer2 file u user p psswd n s l s e x i session c f v w directory d a n n cmd arguments 参数含义 s在系统账户 在系统账户 SYSTEM 账户 下运行远程进程 账户 下运行远程进程 e加载指定账户的策略配置文件 i运行程序以便该程序与远程操作系统中指定会话的桌面交互 如果没有指定的运行程序以便该程序与远程操作系统中指定会话的桌面交互 如果没有指定的 会话 进程会运行在会话 进程会运行在 CONSOLE 控制台 会话中 控制台 会话中 l以受限用户身份 去除 Administrators 组的权限 并且只允许使用分配给 Users 组的权限 运行进程 在 Windows Vista 上 此进程将以 低完整性 运行 c复制指定的程序到远程计算机操作系统以便执行 如果你省略了这个选项 那复制指定的程序到远程计算机操作系统以便执行 如果你省略了这个选项 那 么指定的程序必须位于远程计算机操作系统的系统路径中 么指定的程序必须位于远程计算机操作系统的系统路径中 n指定连接远程计算机的超时秒数 超过即为超时 f强制复制指定的程序到远程系统 即使远程计算机上已经存在该文件 v仅在指定文件具有更高版本号或该 本地 文件比远程系统上的文件新时 才 复制该文件 d不等待应用程序终止 请只对非交互式应用程序使用此选项 不等待应用程序终止 请只对非交互式应用程序使用此选项 w设置进程的工作目录 相对于远程计算机 x在登录桌面上显示用户界面 仅限于本地系统 priority指定 low belownormal abovenormal high 或 realtime 以便按不同优先 级运行进程 a用逗号分隔的可以运行应用程序的处理器 CPU 编号最小为 1 例如 要在 CPU 2 和 CPU 4 上运行应用程序 请输入 a 2 4 arguments要传递的参数 请注意 文件路径必须是目标系统中的绝对路径 如果要运行的程序在远程系统中 但不在远程系统的系统路径中 请指定该程序的完如果要运行的程序在远程系统中 但不在远程系统的系统路径中 请指定该程序的完 整路径整路径 对于其名称中含有空格的应用程序 可以在其两侧加引号 例如 psexec marklap c long name app exe 按下 Enter 键时 仅将输入内容传递到远程系统 键入 Ctrl C 可终止远程进程 如果省略用户名 则远程进程将以执行 PsExec 时所使用的相同帐户运行 但由于远 程进程以模仿方式运行 因此它无权访问远程系统上的网络资源 指定用户名时 远程进 程将以指定的帐户执行 并可访问该帐户有权访问的任何网络资源 请注意 密码是以明文形式传递到远程系统的 当目标系统是本地系统时 由于 PsExec 不需要您具有管理员权限 因此您可以使用 当前版本的 PsExec 来取代 Runas 常用 Psexec 72 56 17 74 cmd 启动远程计算机上的交互命令提示符 就是一个启动远程计算机上的交互命令提示符 就是一个 SHELL 在远程计算机上没有任何 在远程计算机上没有任何 界面 这个提示符显示在本地计算机上 这个命令最重要 界面 这个提示符显示在本地计算机上 这个命令最重要 3 4 Psexec 72 56 17 74 cmd c dir c 要运行远程计算机上的要运行远程计算机上的 DOS 命令 只能以上述形式运行 因为命令 只能以上述形式运行 因为 DOS 命令没有对应的命令没有对应的 可执行文件 可执行文件 Psexec 72 56 17 74 i d calc 在远程计算机上启动计算器程序 执行后 在本地该命令一直处于运行状态 直到远 程计算机上计算器程序终止 本地命令才退出运行状态 测试中发现 使用测试中发现 使用 i 参数执行交互程序时 只有等到远程计算机上退出该程序 本地参数执行交互程序时 只有等到远程计算机上退出该程序 本地 才会退出运行界面 才会退出运行界面 当在远程计算机上执行当在远程计算机上执行 calc notepad 等有交互界面的程序且不同时带等有交互界面的程序且不同时带 i d 参数时 参数时 该命令在远程计算机没有任何显示 在本地也一直不能退出 直到在远程主机上在或在本该命令在远程计算机没有任何显示 在本地也一直不能退出 直到在远程主机上在或在本 地远程删除指定进程 该命令才退出 地远程删除指定进程 该命令才退出 当在远程计算机上执行当在远程计算机上执行 calc notepad 等有交互界面的程序 且同时带等有交互界面的程序 且同时带 i d 参数时 参数时 该命令在远程计算机显示 在本地一直不能退出 直到在远程主机上退出交互界面或删除该命令在远程计算机显示 在本地一直不能退出 直到在远程主机上退出交互界面或删除 指定进程 或在本地远程删除指定进程 该命令才退出 指定进程 或在本地远程删除指定进程 该命令才退出 PsExec i d s CMD 以以 SYSTEM 帐户身份打开另一个帐户身份打开另一个 CMD 窗口 这是得到窗口 这是得到 SYSTME 权限权限 SHELL 的两的两 种方法之一 也是最快速的方法种方法之一 也是最快速的方法 PSFILE 显示指定计算机上被远程系统打开的文件列表 也可以关闭这些打开的文 件 psfile RemoteComputer u Username p Password Id path c 5 ID PSFILE 分配的 被远程打开的文件的 ID Path被远程打开的文件的全部或部分路径 c按照 ID 或路径关闭被远程打开的文件 PSGETSID 得到本地或远程计算机中计算机和用户的 SID 安全标识符 psgetsid computer computer file u username p password account 常用 psgetsid 72 56 17 74 得到远程计算机 72 56 17 74 的 SID psgetsid 72 56 17 74 zcy 得到远程计算机 72 56 17 74 上 zcy 用户的 SID PSINFO 查询本地和远程计算机系统信息 psinfo computer computer file u username p password h s d c t delimter 参数含义 h增加显示已安装的补丁信息 控制面板 添加或删除程序 启用 显示更新 之后就可以查到 s增加显示已安装的软件信息 控制面板 添加或删除程序 d增加显示磁盘信息 6 控制面板 计算机管理 存储 磁盘管理 c以 CSV 格式显示 t设置其他符号为分隔符 常用 psinfo 72 56 17 74 psinfo 72 56 17 74 h 7 psinfo 72 56 17 74 s 8 psinfo 72 56 17 74 d PSLIST 显示本地和远程计算机的进程信息 pslist d m x t s n r n computer u username p password e name pid d显示系统上所有活动线程的详细信息 包括组线程及其子进程 m显示每个进程的内存方面的信息 而不是默认的 CPU 方面的信息 x显示每个指定进程的 CPU 内存 线程信息 t显示进程树 s n 在指定的秒数内 以任务管理器模式运行 按 ESC 退出 r任务管理器模式更新率 单位是秒 默认是 1 秒 9 name仅显示以指定名称开始的进程的相关信息 e与进程名称精确匹配 而不是开头部分匹配 常用 pslist 72 56 17 74 pslist 72 56 17 74 d pslist 72 56 17 74 m pslist 72 56 17 74 x 10 pslist 72 56 17 74 t pslist 72 56 17 74 s 500 11 pslist 72 56 17 74 s 仅显示以 s 开始的进程的相关信息 PSKILL 杀掉本地和远程计算机上指定的进程 pskill t computer u username p password t删除进程及其子进程 Process id指定进程的 ID Process name指定进程的名称 常用 pskill 72 56 17 74 t 1820 12 PSLOGGEDON 查看指定计算机的本地及远程登录的用户和登录时间 psloggedon l x computername username l只显示本地登录情况 如果不使用该参数则同时显示本地登录和远程登录情况 x不显示登录时间 如果不使用该参数则显示登录时间 一般使用 username指定一个用户名 命令自动搜索该用户账户在哪个计算机上登录了 一般不 使用 常用 psloggedon 72 56 17 74 psloggedon 72 56 17 74 x 13 PSLOGLIST 事件日志转储及管理 对于黑客来说 最大的用处是能在命令行下远程清除系统日志 对于黑客来说 最大的用处是能在命令行下远程清除系统日志 psloglist computer computer2 file u username p password s t delimiter m n d h w c x r a mm dd yy b mm dd yy f filter i ID ID e ID ID o event source event source q event source event source g l event log file a仅转储指定日期之后的记录 b仅转储指定日期之前的记录 c显示记录后清除事件日志 d仅显示近几天以内的记录 e排除具有指定的一个或多个 id 最多 10 个 记录 f用过滤字符串过滤事件类型 例如 f w 过滤警告类型事件 g将事件记录输出为 evt 文件 只能与 c 参数配合使用 h仅显示近几小时以内的记录 i仅显示具有指定的一个或多个 id 最多 10 个 的记录 l从指定的事件记录文件转储记录 m仅显示近几分钟以内的记录 n仅显示近几个事件记录 o仅显示来源于指定事件来源的记录 例如 o cdrom q排除来源于指定事件来源的记录 r按照从最早到最近的顺序转储事件记录 即颠倒顺序转储 s以 一行一条 的方式显示记录 字段间用逗号分隔 这种格式对于文本搜索很方便 例如 psloglist findstr I text 也可以输出到空白 表中 t默认的分隔符是逗号 但是可以用该参数指定其他的分隔符 w等待新事件 以便实时地转储新产生的事件记录 x转储扩展数据 eventlog默认情况下显示的是 system 事件日志中的记录 通过输入日志长名称 application system security 的前几个字符就可以指定不同的事件日志 14 常用 psloglist 72 56 17 74 application c nul psloglist 72 56 17 74 system c nul psloglist 72 56 17 74 security c nul for a in application system security do psloglist 72 56 17 74 a c nul 2 nul for a in application system security do psloglist a c nul 2 nul 上述语句可以同时清除多个日志 且执行后没有任何显示 上述语句可以同时清除多个日志 且执行后没有任何显示 PSPASSWD 修改本地或远程计算机任意用户账户的密码 增强了 NET USER 命令 NET USER 命令不能远程修改用户账户的密码 pspasswd computer computer file u username p password Username NewPassword username指定要修改密码的用户账户的用户名 newpassword指定用户账户要修改的新密码 如果省略该参数 则新密码为空 常用 pspasswd 72 56 17 74 test 888 15 PSSERVICE 管理服务 psservice Computer u Username p Password query查询服务的相关信息 config查询服务的配置信息 setconfig设置服务的配置 实际上就是启动类型 值有 auto demand and disabled 三种 start启动服务 stop停止服务 restart停止然后启动服务 pause暂停服务 cont恢复暂停的服务 depend显示哪些服务依赖于指定的服务 find在网络中查找服务的给定实例 security报告指定服务的安全信息 常用 psservice query messenger 查询 messenger 服务的相关信息 最重要的项目是 服务名称 显示名称 服务描述 服务类型 服务状态 16 psservice config messenger 查询服务的配置信息 最重要的项目是 服务名称 服务描述 服务类型 服务启动类型 服务错误控制级 别 可执行文件的路径等等 PSSHUTDOWN 关机工具 比系统自带的 shutdown 多一些关机功能 psshutdown computer computer file u username p password s r h d k a l o f c n s t nn h m e u p xx yy m message 17 a中止关机操作 仅在倒计时过程中可以 只能中止只能中止 psshutdown 所启所启 动的关机操作 不能中止系动的关机操作 不能中止系 统自带命令统自带命令 shutdown 启动启动 的关机操作 反之亦然 的关机操作 反之亦然 c允许交互用户中止关机操作 操作界面多一个 cancel 按钮 d使计算机待机 关机方式 Shutdown 不具备此功能 不具备此功能 e u p xx yy关机原因代码 U 用户原因代码 P 计划关机原因代码 XX 主原因代码 YY 次原因代码 f在关机时强制退出所有正在运行的程序 不 给保存数据的时间 h使计算机休眠 关机方式 休眠用电源键恢复 恢复后网络连不上了 Shutdown 不具备此功能 不具备此功能 k关闭电源 如果不支持关闭电源则重新启 动 关机方式 l锁定计算机 就是回到登录界面 关机方式 m message 在关机倒计时开始的时候 显示指定信息给 当前登录账户 n s指定连接到远程计算机的超时时限 单位 秒 o注销控制台用户 关机方式 r关机后重新启动 关机方式 s关机但不关闭电源 关机方式 t n