目錄

一、批處理編寫

1.1、批處理作用

1.2、如何創建批處理

1.3、批處理基本語法

1.3.1、@echo off

1.3.2、pause

1.3.3、title

1.3.4、echo.

1.3.5、：和goto

1.3.6、start

1.3.7、set

1.3.8? at

拓展：ntsd -c q -pn 進程名稱 和?taskkill? /im 進程名稱 /f

批處理再拓展

批處理案例

二、用戶與組管理

1、服務器系統版本介紹

2、用戶管理

2.1 用戶概述

2.2 Windows內置賬戶

2.3 配置文件

2.4 用戶管理命令

3、組管理

3.1 組概述

3.2 內置組

3.3 組管理命令

三、服務器遠程管理

1、遠程管理類型

2、遠程桌面?

3、telnet

擴展：查看本機開放的所有端口：netstat -an

四、破解windows系統密碼

1、利用5次shift漏洞破解win7密碼

1.1 漏洞

1.2 破解過程相關知識

1.3 漏洞利用過程

2、利用PE系統破解XP密碼

2.1 漏洞?

2.2 破解過程相關知識

2.3 漏洞利用過程

---

---

一、批處理編寫

1.1、批處理作用

成批處理每條DOS命令 （不是處理代碼，是處理命令），批處理文件也叫做腳本文件。

腳本：在Windows里面叫批處理文件，在linux里面叫做shell腳本（因為在Windows里面叫DOS命令，在Linux里面叫做shell命令）

自上而下成批的處理每一條命令，直到執行最后一條！ 批處理不像處理代碼，不管某條命令執行成功與否（錯的會報錯），都會繼續往下執行

注意：如果使用修改關聯性的命令用assoc .txt=exefile ，會把cmd.exe也改了，DOS就用不了了

?

1.2、如何創建批處理

擴展名： .bat（批處理的文件擴展名為 .bat 或 .cmd） 創建方法：新建一個記事本文件，然后將擴展名改為.bat 注：修改擴展名時，需要將文件的擴展名顯示出來后再進行修改！ 案例：新建一個記事本文件，然后將擴展名改為.bat，內容如下： d: cd \ cd tmp del . /s /q

1.3、批處理基本語法

1.3.1、@echo off

作用：關閉回顯功能，也就是屏蔽執行過程，建議放置在批處理的首行。（就是在屏幕上只顯示結果，不會顯示在哪個路徑...）

?

?

1.3.2、pause

作用：暫停批處理運行 案例： @echo off pause 執行結果如下：

1.3.3、title

作用：為批處理腳本設置標題 案例： @echo off title 小鵬的程序

1.3.4、echo.

作用：在執行批處理腳本時，可以空一行。（只有在批處理里面才有意義，跟pause一樣） 案例： @echo off title 小鵬的程序 echo ========================== echo. echo 歡迎使定時關機小程序！ echo. echo ========================== 案例：

?

?

1.3.5、：和goto

冒號：定義標簽名（定義一個命令區間），每個冒號開頭的是一個區塊冒號單獨使用沒有任何意義 注意：冒號不是命令，系統也不會執行這句話，但是系統會識別 goto實現跳轉 為什么要把這兩個命令聯合起來介紹？因為它們是分不開的，無論少了哪個或多了哪個都會出錯。當程序運行到 goto時，將自動跳轉到冒號定義的標簽部分去執行命令塊了，所有冒號和goto聯合起來可以實現在批處理執行時進行跳轉功能。

1.3.6、start

start是開啟開始的意思，幫助你打開某個程序或者某個網頁

start? 空格? 程序路徑名

start? 空格? 網頁名 ——》開啟一個網頁

start后面什么都不寫，就是打開cmd

案例：下面是一個死循環

:d start goto d

如果想要一開機就執行這個程序怎么做？（就是添加到開機啟動項里面）

所有程序——》啟動——》右鍵選擇打開就看到路徑了

C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動

copy qq.bat C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動 d: start goto d

上面這個批處理文件的登陸者如果不是administrator就執行不了了，怎么辦？

copy qq.bat "%userprofile%\「開始」菜單\程序\啟動" # userprofile是一個變量，可變,保證一定能在當前用戶下執行 d: start goto d

1.3.7、set

作用：設置變量，常用與在腳本中的互動賦值。 互動賦值：set /p time=請輸入時間：? ?（time的值取得不是等號后面的值，而是取用戶輸入的值） set /p 變量=? ?# 還是定義變量，但是變量的值不需要你提前輸入，可以讓用戶自行輸入（用戶沒有輸入就會一直卡在那） 引用變量：%time% 案例： @echo off title 史密斯小程序 echo ===================== echo. echo 歡迎使用此小程序 echo. echo ===================== set /p time=請輸入時間： shutdown -s -f -t %time% echo 定時關機已設置完畢，謝謝使用！ pause @echo off title 飛閣小程序v1.0 color 0a :menu cls echo ================== echo 菜單 echo 1、定時關機 echo 2、取消定時 echo 3、退出 echo ==================set /p num=請輸入您的選擇： if "%num%"=="1" goto 1 if "%num%"=="2" goto 2 if "%num%"=="3" goto 3 echo 別tm瞎輸入，好好輸入，別鬧 goto menu:1 set /p a=請輸入時間（單位/秒）： shutdown -s -f -t %a% goto menu:2 shutdown -a goto menu:3 exit

希望在第2個區塊里面生成一個批處理，批處理里面寫三句話，放到啟動里面（C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動）

在開始啟動菜單里面生成一個批處理

:2 echo :a >>"%userprofile%\「開始」菜單\程序\啟動\haha.bat" echo :start >>"%userprofile%\「開始」菜單\程序\啟動\haha.bat" echo :goto >>"%userprofile%\「開始」菜單\程序\啟動\haha.bat" goto menu

案例：

案例： @echo off title 史密斯小程序 :menu cls echo ==================== echo 菜單 echo 1.定時關機 echo 2.查看本機IP echo 3.退出 echo ==================== set /p num=請輸入選項： if "%num%"=="1" goto a if "%num%"=="2" goto b if "%num%"=="3" goto c echo 請正確輸入數值（1、2、3），按任意鍵繼續！ pause goto menu :a set /p time=請輸入時間： shutdown -s -f -t %time% echo 定時關機已設置完畢，按任意鍵返還菜單！ pause goto menu :b ipconfig echo 按任意鍵返還菜單！ pause goto menu :c exit

1.3.8? at

cmd 里面輸入 at /? 來查看 at 的命令參數及語法
制定 at 計劃: at 22:30 shutdown -s 在今天 22:30 關閉計算機
查看已啟動的 at 計劃: at 可以查看所有制定的計劃
查看某一項 at 計劃: at 1（at 后面的 1 是計劃的 ID）

運行批處理程序: at 16:20 /every:Monday "C:\Users\Administrator\Desktop\mkdir.bat"
在下午: 16:20 運行/every 代表指定日期, Monday 是星期一,在星期一的16:20 分運行 mkdir.bat 這個批處理程序
運行批處理程序要使用絕對路徑. 記得用 雙引號 括起來噢

刪除 at 計劃: at 1 /delete 將作業 ID 為 1 的進行刪除,
at /delete 刪除所有作業計劃
來自：https://jingyan.baidu.com/article/642c9d3456a80e644a46f720.html

?

拓展：ntsd -c q -pn 進程名稱 和?taskkill? /im 進程名稱 /f

1、ntsd -c q -pn 進程名稱（只針對win 2003和xp）

ntsd -c q -pn? winlogon.exe ——》? 殺進程（強制殺死指定進程的名稱）

winlogon.exe是Windows登錄進程

上面那套命令結果就是藍屏

此條命令只針對于微軟的2003或者xp系統

2、taskkill? /im 進程名稱 /f? ? ?（/m表示指定名稱） taskkill? /im explorer.exe /f? ?（執行此條命令，桌面就沒了） @echo off color 0a taskkill /im explorer.exe /f >nul 2>nul echo 傻了吧。 ping -n 10 127.0.0.1 >nul 2>nul start c:\Windows\explorer.exe echo 嚇唬你的，是不是尿褲子了！ pause

批處理再拓展

更多命令請看：https://www.cnblogs.com/zhaoqingqing/p/4620402.html

①%~dp0[獲取當前路徑]? ? #?%~dp0?“d”為Drive的縮寫，即為驅動器，磁盤、“p”為Path縮寫，即為路徑，目錄

②%cd%[執行的路徑]? ? #當前執行的路徑，并非目標文件的路徑

③taskkill /f /im notepad.exe [終止進程]

④Rem 命令??#語法：Rem Message...(小技巧：用::代替rem)? 注釋命令，在C語言中相當與/*...*/,它并不會被執行，只是起一個注釋的作用，便于別人閱讀和自己日后修改。

⑤@ 命令? ? ?#表示不顯示@后面的命令，(在入侵過程中自然不能讓對方看到你使用的命令啦)

參數：

%SystemRoot% === C:\WINDOWS (%windir% 同樣)

%ProgramFiles% === C:\Program Files

%USERPROFILE% === C:\Documents and Settings\Administrator (子目錄有“桌面”,“開始菜單”,“收藏夾”等)

%APPDATA% === C:\Documents and Settings\Administrator\Application Data

%TEMP% === C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp (%TEM% 同樣)

%APPDATA% === C:\Documents and Settings\Administrator\Application Data

%OS% === Windows_NT (系統)

%Path% === %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem (原本的設置)

%HOMEDRIVE% === C: (系統盤)

%HOMEPATH% === \Documents and Settings\Administrator

批處理案例

案例、用bat批處理實現163郵箱自動登陸的代碼

方法一、

@echo off set u=jb51.net set p=www.jb51.net start "" "http://reg.163.com/login.jsp?type=1&url=http://fm163.163.com/coremail/fcg/ntesdoor2?lightweight=1&verifycookie=1&language=-1&style=-1&username=%u%&password=%p%"

start后面的雙引號是寫title的里面的內容可寫可不寫，更多

方法二、

@echo off title color 2b mode con: cols=58 lines=13 set "id=jb51.net" set "pwd=www.jb51.net" start "開始登錄你的郵箱" IEXPLORE "https://reg.163.com/logins.jsp?username=%id%&password=%pwd%&url=http://fm163.163.com/coremail/fcg/ntesdoor2"

方法二是用IEXPLORE瀏覽器打開的

二、用戶與組管理

1、服務器系統版本介紹

windows服務器系統：windows sever 2000/ 2003/ 2008/ 2012 linux服務器系統：Redhat（紅帽）、 CentOS（開源≠免費）——》紅帽和centos現在是一家公司，以前不是 【紅帽是收服務費的、centos完全免費】紅帽出現任何問題有售后，CentOS沒有 我們平時接觸的win7 win10 xp都屬于個人操作系統，不是服務器操作系統，這是以后我們的攻防目標，因為都是服務器

2、用戶管理

我們學習用戶管理的目的是學習如何創建多個用戶并設置不同權限

我們學用戶管理一般是用在用戶身上，因為個人電腦一般沒有必要創建多個賬號，而服務器就不一樣了，服務器是為大家提供服務的，大家都一起訪問，權限一定是不一樣的

2.1 用戶概述

一個系統里面可以設置多個用戶（可以理解為一間房間可以有多把鑰匙），設置不同權限。

• 每一個用戶登錄系統后，擁有不同的操作權限。
• 每個賬戶有自己唯一的SID（安全標識符security id），可以理解為身份證號。
• 用戶SID：S-1-5-21-426206823-2579496042-14852678-500（500是用戶ID）——》可以粗略理解為這個用戶“身份證號”是在S-1-5-21-426206823-2579496042-14852678（系統id）這臺電腦上，名字叫500（userid），賦權限是賦給這個“身份證號”，不是賦給那個用戶名
• 系統SID：S-1-5-21-426206823-2579496042-14852678

? ? ? 用戶UID：500 ? ? ? windows系統管理員Administrator的UID固定是500（Linux中管理員root的UID是0） ? ? ? 普通用戶的UID是1000開始 ? ? ? ? 不同的賬戶擁有不同的權限，為不同的賬戶賦權限，也就是為不用賬戶的SID賦權限！ ? ? ? ? ?查看sid值：whoami /user

• 賬戶密碼存儲位置：c:\windows\system32\config\SAM #暴力破解/撞庫（必須記住），密碼加密了，這個加密叫做不可逆算法，微軟自己都解不開（哈希算法），只有暴力破解和撞褲才可能破解。
• windows系統上，默認密碼最長有效期42天（尤其是在服務器系統上，防止被別人改密碼）

?

2.2 Windows內置賬戶

內置賬戶就是系統自帶的賬戶，想刪都刪不了 給人使用的賬戶： administrator? ?#管理員賬戶 guest? ? ? ? ? ? ? ?#來賓賬戶（權限特別低） 計算機服務組件相關的系統賬號： system? ? ? ? ? ? ? ? ? ?#系統賬戶 == 權限至高無上 local services? ? ? ? ?#本地服務賬戶 == 權限等于普通用戶（開啟聲卡什么的服務就是它來做） network services? ? #網絡服務賬戶 == 權限等于普通用戶（和聯網有關的服務都是它來做）

權限排名：system>管理員administrator>local services和networkservices>guest

2.3 配置文件

在Windows里面叫配置文件，在Linux里面叫家home，每個用戶第一次登陸這臺電腦，就會為你這個用戶建立一個家，家里面放你的私人數據（比如你的桌面，瀏覽器的收藏夾，文檔，垃圾文件...） 每個用戶都有自己的配置文件（家目錄），在用戶第一次登錄時自動產生（第一次登陸之后才會生成），路徑是： win7/win2008 在? ? ——》? ? c:\用戶\ xp/win2003? ? ?在 ——》? ? ? ?c:\Documents and Settings\ 查看用戶：我的電腦——》管理——》本地用戶和組——》用戶

?

新建用戶：

在上圖界面下單擊鼠標右鍵——》新用戶——》寫用戶名的時候不要寫中文

?

驗證是否創建成功：

將電腦注銷——》

普通用戶注銷之后家還在，但是guest用戶注銷，什么都沒了

管理員能設置普通用戶密碼，更改密碼，禁用賬號等。

2.4 用戶管理命令

以前學的DOS命令叫做基本命令，下面的叫功能命令

net user #查看用戶列表 net user 用戶名 #查看用戶詳細信息 net user 用戶名 密碼 #改密碼（只有管理員才能做） net user waffle “”? ? # 把waffle密碼清空（利用雙引號） net user 用戶名 密碼 /add #創建一個新用戶 net user 用戶名 /del #刪除一個用戶 net user 用戶名 /active:yes???#激活賬戶 net user 用戶名 /active:no????#禁用賬戶 練習： 1、練習圖形及命令行中，進行用戶管理（包括創建、修改密碼、刪除用戶、登錄并驗證家目錄產生、及權限） 2、制作一個批處理腳本，可以實現互動創建用戶

?

3、組管理

3.1 組概述

組的作用：簡化權限的賦予。 （公司里面一般按部門分組，對公司做權限管理） 賦權限方式： 1）用戶---組---賦權限· 2）用戶---賦權限?

3.2 內置組

內置組的權限默認已經被系統賦予 1）administrators? ? ? ? ? ? ? ? ??# 管理員組 2）guests? ? ? ? ? ? ? ? ? ? ? ? ? ? ??# 來賓組 3）users? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??# 普通用戶組，默認新建用戶都屬于該組 4）network? ? ? ? ? ? ? ? ? ? ? ? ? ??# 網絡配置組 5）print? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??# 打印機組 6）Remote Desktop Users? ??# 遠程桌面組

3.3 組管理命令

net localgroup? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??# 查看組列表 net localgroup 組名? ? ? ? ? ? ? ? ? ? ? ? ??# 查看該組的成員（如果組名有空格要用雙引號引起來） net localgroup 組名 /add? ? ? ? ? ? ? ? ??# 創建一個新的組 net localgroup 組名 用戶名 /add? ? ??# 添加用戶到組 把waffle提到管理員組叫做提權，踢出管理員組叫降權 Waffle雖然進到管理員組，但是不能真正的和administrator相媲美 net localgroup 組名 用戶名 /del? ? ? ?# 從組中踢出用戶 net localgroup 組名 /del? ? ? ? ? ? ? ? ? ?# 刪除組 練習： 1、練習圖形及命令行中，進行組管理（創建組、組成員添加、查看組成員、成員脫離組、刪除組） 2、創建1個普通用戶lisi，并將lisi提升為管理員，并驗證lisi是否成功取得管理員權限！

圖形界面操作方法：

我的電腦——》管理——》本地用戶和組——》組

?

?

三、服務器遠程管理

1、遠程管理類型

windows遠程管理有2種類型： ①? 遠程桌面 （圖形化界面遠程管理） ②??telnet? ? ??（Windows的命令行遠程管理） telnet是一個全球非常知名的協議，它支持讓某臺設備被別人遠程用命令來控制。

2、遠程桌面

步驟： 1、首先將配置網絡，并實現客戶機與服務器可以互通。 2、服務器開啟允許被遠程控制：桌面右鍵屬性 -- 遠程設置 -- 選擇允許 -- 確定。 3、客戶機上：開始 -- 運行 -- 輸入mstsc（全稱：Microsoft terminal services client）?打開遠程連接工具。 4、在mstsc工具上輸入服務器的IP并點擊確定。 5、輸入服務器的賬號及密碼。 注意：如使用非管理員賬戶登錄遠程，需要在服務器上將用戶加入到遠程桌面內置組Remote Desktop Users中。

這時候xp就能遠程控制win2003了

全稱：Microsoft terminal services client

注意：普通用戶沒有遠程登錄這臺計算機的權限，要賦遠程登錄的權限

3、telnet

步驟： 1、首先將配置網絡，并實現客戶機與服務器可以互通。 2、服務器開啟允許被telnet遠程控制：開始 -- 運行 -- 輸入services.msc（服務管理窗口），并開啟telnet服務。 3、客戶機上：開始 -- 運行 -- 輸入cmd。 4、在命令行窗口中輸入：telnet 10.1.1.2（目標ip地址）。 5、輸入服務器的賬號及密碼。 注意：如服務器是2008及更高版本系統，需要再第二步前先按照telnet服務：計算機右鍵管理 -- 功能 -- 按照 telnet 服務，另外如使用非管理員賬戶登錄遠程，需要再服務器上將用戶加入到遠程桌面內置組中。 里面有個telnet服務，默認是關閉的，只要一打開，對方就能遠程控制 tips：怎么找呢，選擇任何一個服務，按下T鍵，就能快速定位t開頭的服務 現在敲的任何命令都是在win2003里面的做的 普通用戶要賦予權限，要加到TelnetClients這個組里面 win10的telnet功能：控制面板里面搜索“啟用或關閉 windows 功能”

擴展：查看本機開放的所有端口：netstat -an

查看本機開放的所有端口：netstat -an（一個端口對應著一個服務） telnet：23 遠程桌面協議（RDP，remote desktop protocol）：3389 共享服務：445 漏洞：telnet的密碼是不加密的 上圖中? ?:23端口號是telnet服務端口號 勒索病毒是通過：445端口號進來的，叫共享服務 把端口關掉病毒就進不來了

四、破解windows系統密碼

1、利用5次shift漏洞破解win7密碼

不要利用任何工具，是利用win7的漏洞來破解密碼（一定要有這個漏洞）

按五次shift：

1.1 漏洞

1、在未登錄系統時，連續按5次shift鍵，彈出程序c:\windows\system32\sethc.exe 2、部分win7及win10系統在未進入系統時，可以通過系統修復漏洞篡改系統文件名！ 注：如win7或win10系統已修補漏洞2，則無法利用

可以通過記事本慢慢摸索到C盤：打開記事本——》文件——》打開

1.2 破解過程相關知識

1、cmd工具路徑 c:\windows\system32\cmd 2、用戶/賬戶密碼存儲位置 c:\windows\system32\config\SAM # 非逆轉型加密、使用hash值類似的方法、MD5 SHA 3、修改賬戶密碼： net user 用戶名 新密碼

1.3 漏洞利用過程

案例：破解win7系統密碼 實驗步驟： 1、開啟win7虛擬機，開機，并設置一個復雜密碼； 2、關機，并開機，在出現windows啟動界面時強制關機； 3、再開機，出現“啟動修復（推薦）”及選擇該項； # 如沒有出現，多嘗試幾次第2步，如還不行，請換其他方法 4、出現系統還原提示，點擊取消，等待幾分鐘后，會出現問題原因，點擊查看詳細信息； 5、打開最后一個鏈接即一個記事本； 6、記事本中點打開，并選擇顯示所有文件； 7、找到sethc并改名sethc-bak（隨便寫），再找到cmd，復制一份cmd改名為sethc 8、全部關閉，重啟。 9、系統啟動完畢后，連續按5次shift鍵，將彈出cmd工具，使用命令net user 用戶名 新密碼，將當前用戶密碼修 改掉即可，或者另外建立1個用戶，并提升為管理員，注銷后，可再刪除新建的用戶，這樣的好處為不修改當前用戶的密 碼即可登錄系統。

2、利用PE系統破解XP密碼

這個方法沒有漏洞也可以破解，而且成功率很高，只要是Windows系統就可以破解，但是提前必須準備一個U盤

我們需要將U盤制作為PE系統

2.1 漏洞?

PE系統，獨立于硬盤系統的微型系統，通過PE系統啟動可以對系統的SAM文件做修改 這個實驗關鍵點： 1、怎么將U盤作為PE啟動盤（如何制作PE系統）【如老山桃、老毛桃，大白菜，U深度增強版（推薦）等，建議下載最新版win10PE等】，直接百度搜索PE系統 2、插進去之后怎么將U盤作為第一啟動順序（如何進入BIOS修改啟動順序） 如何制作win10 PE？ 首先下載好軟件，把U盤插到電腦上，會自動識別你的盤符號（U盤），直接點擊一鍵制作，5~10分鐘你的U盤就變成了你的PE啟動盤 制作PE的時候，U盤上的內容會被全部清空

2.2 破解過程相關知識

賬戶密碼存儲文件：c:\windows\system32\config\SAM U盤引導系統：開機修改啟動順序，并將U盤設置為第一啟動順序！（一般電腦是開機馬上按F2鍵，進入BIOS，修改啟動 順序，不同品牌電腦設置方法不一樣，可咨詢售后）

2.3 漏洞利用過程

1.下載PE制作工具（如老毛桃，大白菜，U深度增強版等，建議下載最新版win10PE等），插入空U盤或光盤，一鍵制作PE系統到U盤 2.為XP系統設置一個復雜密碼，并關機。 3.插入帶有PE系統的U盤或光盤，開機，馬上按F2（聯想的電腦基本上都是按F2），進入BIOS，設置啟動順序為U盤或光盤為第一位，保存（BIOS（英文：Basic Input/Output System），即基本輸入輸出系統）——》光標點進去進入boot——》可見第一個是移動硬盤、第二個是硬盤、光驅。——》我們要把光驅調到硬盤前面——》選中光驅按+就往前，-就往下（看下面的提示）——》F10退出 4.重啟，進入PE菜單或PE系統，使用破解密碼程序進行破解。（不同的PE系統菜單不一樣，但一般都有破解密碼選項） 在虛擬機中winxp中演示： 1、設置復雜密碼后關機 2、把U盤插進去（虛擬機沒有U盤：就點擊設置找到光驅），點擊使用鏡像文件——》瀏覽——》選擇下載好的XP-PE.iso（要破解什么就選擇什么PE）——》確定 3、開機，把鼠標點擊虛擬機再狂按F2（也可以在開機的綠色三角形那里點開下拉菜單——》選擇打開電源時進入固件，讓他開機直接進入BIOS） 4、選擇Boot——》選擇CD-ROM Drive（光驅）按住shift +，光驅就放到硬盤前面了 5、F10對BIOS保存并退出 6、選擇【B】運行win PE光盤微型維修系統 7、進入XP-PE界面

?8、選擇破解Windows登錄密碼

9、選擇用戶——》更改口令——》退出——》關機——》重啟 10、選擇從硬盤啟動（跳過光盤從硬盤啟動）

總結

以上是生活随笔為你收集整理的【CyberSecurityLearning 3】批处理、用户与组管理、服务器远程管理、破解Windows系统密码的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。