Tråd bedømmelse:
  • 2 Stemmer - 5 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
netsh - Microsoft Net Shell - Intro
25-05-2015, 17:36
#1
netsh - Microsoft Net Shell - Intro
Denne intro er mere en teaser, som skal hjælpe med at komme i gang med netsh. Det er mest en "where-to-start", da jeg ikke giver ret mange eksempler.
Det skyldes primært, at man kan se alle kommandoerne med "?", direkte i netsh.
Så det ville være lidt overflødigt at skrive dem alle. Der er selvfølgelig også en masse info tilgængelig på nettet.
Det er et super værktøj, både til administration, og selvfølgelig som hacker.

Eksempler:
Man kan f.eks. se, hvilke adresser maskinens interfaces har:
Citer:C:\Windows\System32>netsh int ipv4 show addresses

Konfiguration for grænseflade "LAN-forbindelse"
DHCP aktiveret: Ja
IP-adresse: 10.0.2.43
Undernetpræfiks: 10.0.2.0/23 (maske 255.255.254.0)
Standardgateway: 10.0.2.1
Gatewaymetrikværdi: 0
InterfaceMetric: 10

Konfiguration for grænseflade "Trådløs netværksforbindelse"
DHCP aktiveret: Ja
InterfaceMetric: 25

Konfiguration for grænseflade "VirtualBox Host-Only Network"
DHCP aktiveret: Nej
IP-adresse: 192.168.56.1
Undernetpræfiks: 192.168.56.0/24 (maske 255.255.255.0)
InterfaceMetric: 20

Konfiguration for grænseflade "Loopback Pseudo-Interface 1"
DHCP aktiveret: Nej
IP-adresse: 127.0.0.1
Undernetpræfiks: 127.0.0.0/8 (maske 255.0.0.0)
InterfaceMetric: 50

C:\Windows\System32>

Bemærk at "int" er en forkortelse for "interface", og disse keywords kan forkortes temmelig meget.
Nedenstående to kommandoer giver det samme resultat:

Citer:netsh interface show interface
netsh i s i

Kan kan også få en oversigt over sine interfaces, hvis man har brug for det:
Citer:C:\Windows\System32>netsh int ipv4 show interfaces

Idx Met MTU Tilstand Navn
--- ---------- ---------- ------------ ---------------------------
1 50 4294967295 connected Loopback Pseudo-Interface 1
11 25 1300 disconnected Trådløs netværksforbindelse
12 10 1300 connected LAN-forbindelse
20 20 1500 connected VirtualBox Host-Only Network

C:\Windows\System32>

Det gælder selvfølgelig både for IPv4 og IPv6.

Man kan også bruge "add" til at tilføje, "set" til at ændre, og "del" for at slette instillinger. F.eks. kan man slette en IP adresse.
Citer:netsh int ipv4 set address "Local Area Connection" static 192.168.1.3 255.255.255.0 192.168.1.1
netsh int ipv4 del address "Local Area Connection" 192.168.1.3 192.168.1.1
netsh int ipv4 add address "Local Area Connection" 192.168.1.4

Man kan også se sine windows firewall instillinger:
Citer:C:\Windows\System32>netsh advfirewall show allprofiles

Domæneprofil-indstillinger:
----------------------------------------------------------------------
Tilstand TIL
Firewall-politik BlockInbound,AllowOutbound
LocalFirewallRules I/T (kun gruppepolitikobjekt-lager)
LocalConSecRules I/T (kun gruppepolitikobjekt-lager)
InboundUserNotification Aktiver
RemoteManagement Deaktiver
UnicastResponseToMulticast Aktiver

Logføring:
LogAllowedConnections Deaktiver
LogDroppedConnections Deaktiver
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096


Privat profil-indstillinger:
----------------------------------------------------------------------
Tilstand TIL
Firewall-politik BlockInbound,AllowOutbound
...

Windows firewall kan disables med:
Citer:netSh advfirewall set allprofiles state off

Eller aktiveres med:
Citer:netSh advfirewall set allprofiles state on

Mere:
Hvad kan man ellers og hvordan finder man selv ud af, hvad man kan?
For at se hvad man ellers kan i denne context, kan man udføre følgende:
Citer:C:\Windows\System32>netsh int ipv4 show ?

Følgende kommandoer er tilgængelige:

Kommandoer i denne kontekst:
show addresses - Viser IP-adressekonfigurationer.
show compartments - Viser opdelingsparametre.
show config - Viser IP-adresser og flere oplysninger.
show destinationcache - Viser poster i destinationscachen.
show dnsservers - Viser DNS-serveradresserne.
show dynamicportrange - Viser konfigurationsparametre for dynamisk portinterval.
show global - Viser globale konfigurationsparametre.
show icmpstats - Viser ICMP-statistik.
show interfaces - Viser grænsefladeparametre.
show ipaddresses - Viser de aktuelle IP-adresser.
show ipnettomedia - Viser IP net-til-medieforbindelser.
show ipstats - Viser IP-statistik.
show joins - Viser tilsluttede multicast-grupper.
show neighbors - Viser poster i den tilstødende cache.
show offload - Viser oplysninger om aflastning.
show route - Viser poster i rutetabellen.
show subinterfaces - Viser undergrænsefladeparametre.
show tcpconnections - Viser TCP-forbindelser.
show tcpstats - Viser TCP-statistik.
show udpconnections - Viser UDP-forbindelser.
show udpstats - Viser UDP-statistik.
show winsservers - Viser WINS-serverens adresser.

C:\Windows\System32>

Man kan rigtig meget med dette tool og det har sin egen shell. Her kan man se alle muligheder.
Den er context baseret, lidt som Cisco IOS, eller harddiskens mappestruktur.

Vi kan prøve at se på følgende kommando:
Citer:netsh interface show interface

Vi går fra netsh "rod" context, til "interface" context:

Citer:C:\Windows\System32>netsh
netsh>interface
netsh interface>show

Følgende kommandoer er tilgængelige:

Arvede kommandoer fra konteksten netsh:
show alias - Viser alle definerede aliaser.
show helper - Viser alle hjælpeprogrammer på øverste niveau.
show mode - Viser den aktuelle tilstand.

Kommandoer i denne kontekst:
show interface - Viser grænseflader.
netsh interface>show interface

Admin-tilst. Tilstand Type Grænsefladenavn
-------------------------------------------------------------------------
Aktiveret Forbindelsen er oprettet Dedikeret VirtualBox Host-Only Network
Deaktiveret Afbrudt Dedikeret LAN-forbindelse 2
Aktiveret Afbrudt Dedikeret Trådløs netværksforbindelse
Aktiveret Forbindelsen er oprettet Dedikeret LAN-forbindelse

netsh interface>exit

C:\Windows\System32>


Man kan få context baseret hjælp ved at skrive "?". Man forlader en context med "..", og afsluttet netsh shell med "exit".
Bemærk at "?" både viser nedarvede kommandoer, og kommandoer der kun kan bruges i den aktuelle context.

Citer:C:\Windows\System32>netsh
netsh>interface
netsh interface>?

Følgende kommandoer er tilgængelige:

Arvede kommandoer fra konteksten netsh:
.. - Skifter et niveau op.
abort - Annullerer ændringer foretaget i offline-tilstand.
add - Føjer en konfigurationspost til en liste over poster.
advfirewall - Ændringer til 'netsh advfirewall'-konteksten.
alias - Tilføjer et alias.
bridge - Ændringer til 'netsh bridge'-konteksten.
...
winhttp - Ændringer til 'netsh winhttp'-konteksten.
winsock - Ændringer til 'netsh winsock'-konteksten.
wlan - Ændringer til 'netsh wlan'-konteksten.

Kommandoer i denne kontekst:
6to4 - Ændringer til 'netsh interface 6to4'-konteksten.
? - Viser en liste over kommandoer.
dump - Viser et konfigurationsscript.
help - Viser en liste over kommandoer.
...
show - Viser oplysninger.
tcp - Ændringer til 'netsh interface tcp'-konteksten.
teredo - Ændringer til 'netsh interface teredo'-konteksten.

Følgende underkontekster er tilgængelige:
6to4 httpstunnel ipv4 ipv6 isatap portproxy tcp teredo

For at se hjælp til en kommando skal du skrive kommandoen efterfulgt af
et mellemrum og derefter skrive ?.

netsh interface>..

netsh>exit

C:\Windows\System32>


Links:
http://en.wikipedia.org/wiki/Netsh
Microsoft TechNet - Netsh
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)