网络安全深入学习第九课——本机信息收集

文章目录


一、Windows基本信息收集

1、查看当前权限

c 复制代码
命令:whoami

2、查看指定用户的详细信息

c 复制代码
命令:net user username
命令:net user username /domain

3、查看用户SID

c 复制代码
命令:whoami /all

4、查看网卡配置

c 复制代码
命令:ipconfig /all

5、查看服务器版本\补丁等

c 复制代码
命令:systeminfo

6、查看系统架构

c 复制代码
命令:echo %PROCESSOR_ARCHITECTURE%

7、查看安装的软件及版本

c 复制代码
命令:wmic product get name,version

8、查看本机服务信息

c 复制代码
命令:wmic service list brief

9、查询进程信息和列表

c 复制代码
命令:wmic process list brief
命令:tasklist /v

10、查看启动程序信息

c 复制代码
命令:wmic startup get command,caption

11、查看计划任务

c 复制代码
命令:schtasks /query /fo LIST /v

12、查看主机开机时间

c 复制代码
命令:net statistics workstation

13、查看属于本地管理员组的用户

c 复制代码
命令:net localgroup administrators

14、查看当前在线用户

c 复制代码
命令:query user || qwinsta
命令:quser

15、端口开放情况

c 复制代码
命令:netstat -nao

16、列出或者断开本地计算机和连接的客户端会话

c 复制代码
命令:net session

17、补丁列表

c 复制代码
命令:wmic qfe get Caption,Description,HotFixID,InstalledOn
systeminfo

18、查看本机共享和可访问共享列表

c 复制代码
命令:net share
命令:wmic share get name,path,status

19、收集本机WIFI信息

c 复制代码
命令:for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear

20、查询当前保存的凭据

c 复制代码
命令:cmdkey /l

21、查询杀软等信息

c 复制代码
命令:wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname /format:list

22、查询RDP凭据

c 复制代码
命令:dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

二、杀毒软件检测对比

tasklist在线网站:https://mrxn.net/avlist/
先在cmd中使用tasklist 命令列出进程列表,然后把整个列表复制到网站中去检测。


三、Windows防火墙相关

1、进站规则

c 复制代码
命令:netsh advfirewall firewall show rule name=all dir=in
命令:netsh firewall show config

2、关闭防火墙

c 复制代码
命令:netsh firewall set opmode disable
// Windows Server 2003 系统及之前版本

命令:netsh advfirewall set allprofiles state off
// Windows Server 2003 之后系统版本 

3、修改防火墙配置

c 复制代码
命令:netsh firewall add allowedprogram c:\nc.exe "allow nc" enable 
// Windows Server 2003 系统及之前版本,允许指定程序全部连接Windows Server 2003 之后系统版本,情况如下:

3.2、允许指定程序连入
命令:netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"

3.2、允许指定程序连出
命令:netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C:\nc.exe"

3.3、允许 3389 端口放行
命令:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

4、端口转发(杀软告警)

c 复制代码
命令:netsh interface portproxy add v4tov4 listenaddress=192.168.193.1 listenport=701 connectaddress=192.168.192.128 connectport=701

命令:netsh interface portproxy add v4tov4 listenport=8080 connectaddress=192.168.56.101 connectport=8080

5、自定义防火墙日志存储位置

c 复制代码
命令:netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"

6、允许3389连接

c 复制代码
命令:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
\\需要管理员

四、Windows远程服务相关

1、查询远程服务是否开启

c 复制代码
注册表查询RDP是否开启(0x1为关闭、0x0为开启)
命令:REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections 

2、查看远程服务的端口

c 复制代码
命令:REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber

3、修改远程服务端口

c 复制代码
命令:REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00003d3 (3389)
\\需要管理员

4、开启远程服务

c 复制代码
命令:REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
//(/f强制操作) 需要管理员

命令:wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1

命令:wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1

五、网段信息收集

1、netstat -nato -p tcp

2、C:\Windows\System32\drivers\etc\hosts

3、ipconfig

4、远程连接管理工具

5、远程连接记录

命令:reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers" /s

6、事件查看器 -> windows日志 -> 安全 -> id:4648


六、存活主机探测

1、NetBIOS快速探测内网

NetBIOS是局域网程序使用的一种应用程序编程接口(API),为程序提供请求低级别服务的统一的命令集,为局域网提供了网络及其他特殊功能。几乎所有局域网都是在NetBIOS协议的基础上工作的。NetBIOS也是计算机的标识名,用于局域网中计算机的访问。

NetBIOS的工作流程就是正常的机器名解析查询应答过程。nbtscan-存活 -r 192.168.245.1/24

2、利用ICMP协议探测内网

c 复制代码
命令:For /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.245.%I | findstr "TTL"

3、arp

c 复制代码
命令:arp-scan.exe -t 10.10.10.1/24

4、tcp\udp

c 复制代码
命令:nmap -Pn -sT -p22,445,139,135 10.10.10.1/24

七、端口扫描

  • 1、nmap

  • 2、routescan

  • 3、scanport

  • 4、auxiliary/scanner/portscan/tcp

  • 5、powershell.exe -exec bypass -Command "& {Import-Module

    ./Invoke-Portscan.ps1; Invoke-Portscan -Hosts 192.168.245.120 -T 4

    -ports '445,135,139,137,22' -oA 'port.txt'}"


相关推荐
易云码1 小时前
信息安全建设方案,网络安全等保测评方案,等保技术解决方案,等保总体实施方案(Word原件)
数据库·物联网·安全·web安全·低代码
Spring_java_gg4 小时前
如何抵御 Linux 服务器黑客威胁和攻击
linux·服务器·网络·安全·web安全
独行soc5 小时前
#渗透测试#SRC漏洞挖掘#深入挖掘XSS漏洞02之测试流程
web安全·面试·渗透测试·xss·漏洞挖掘·1024程序员节
newxtc5 小时前
【国内中间件厂商排名及四大中间件对比分析】
安全·web安全·网络安全·中间件·行为验证·国产中间件
mingzhi611 天前
渗透测试-快速获取目标中存在的漏洞(小白版)
安全·web安全·面试·职场和发展
安胜ANSCEN1 天前
加固筑牢安全防线:多源威胁检测响应在企业网络安全运营中的核心作用
网络·安全·web安全·威胁检测·自动化响应
超栈1 天前
蓝桥杯-网络安全比赛题目-遗漏的压缩包
前端·网络·sql·安全·web安全·职场和发展·蓝桥杯
黑龙江亿林等级保护测评1 天前
DDOS防护介绍
网络·人工智能·安全·web安全·智能路由器·ddos
kali-Myon1 天前
NewStarCTF2024-Week5-Web&Misc-WP
前端·python·学习·mysql·web安全·php·web