windows渗透信息收集

基本命令

• 主机名 hostname

• 查询所有计算机名称 dsquery computer

• 查看配置及补丁信息

  • systeminfo
  • wmic qfe get description,installedOn /format:csv

• 查看版本 ver

• 进程信息

  • tasklist /svc
  • wmic process get caption,executablepath,commandline /format:csv
  • get-process

• 查看所有环境变量 set

• 查看计划任务 schtasks /QUERY /fo LIST /v

• 查看安装驱动 DRIVERQUERY

• 查看操作系统信息

  • 架构 wmic os get osarchitecture
  • 系统名 wmic os get caption

• 查看逻辑盘 wmic logicaldisk get caption

• 查看安装的软件信息 wmic product get name,version

• 查看服务信息

  • wmic service list brief
  • sc query
  • Get-WmiObject win32_service | select PathName

域信息

• 获取当前组的计算机名 net view

• 网络发现 net view /all

• 查看所有域 net view /domain

• 域森林、域树信息

• 域信任信息 nltest /domain_trusts

• 定位域控 net time /domain

• 查看域中的用户名 dsquery user

• 查询域组名称 net group /domain

• 查询域管理员 net group "Domain Admins" /domain

• 域控信息

  • nltest /dclist:xx
  • Get-NetDomain
  • Get-NetDomainController
  • net group "Domain controllers"

• 组策略

用户信息

• 查看用户

  • net user
  • whoami / whoami /priv / whoami /all
  • wmic useraccount get /ALL /format:csv

• 用户特权信息 whoami /priv

• 查看当前权限 net localgroup administrators

• 查看在线用户 quser / qwinsta / query user

• 查看当前计算机名，全名，用户名，系统版本，工作 站域，登陆域 net config Workstation

• ACL 信息 get-acl

网络信息

• 内网网段信息

• 网卡信息 ipconfig

• 外网出口

• ARP表 arp -a

• 路由表 route print

• 监听的端口 netstat -ano

• 连接的端口

• 端口信息

  • Get-NetTCPConnection

• hosts文件

• 主备 DNS

• DNS缓存

  • ipconfig /displaydns
  • Get-CimInstance -Namespace root/StandardCimv2 -ClassName MSFT_DNSClientCache

• 探测出网情况

  • powershell -c "1..65535 | % {echo ((new-object Net.Sockets.TcpClient).Connect('allports.exposed',$_)) _ } 2\>null"

6.1.1.5. 防火墙

• 查看防火墙状态 netsh advfirewall show allprofiles
• 防火墙日志目录 netsh firewall show logging
• 防火墙规则 netsh advfirewall firewall show rule name=all
• netsh firewall show config
• netsh firewall show state

6.1.1.6. 密码信息

• Windows RDP连接记录

• 浏览器中保存的账号密码

• 系统密码管理器中的各种密码

• 无人值守安装文件中的密码信息

  • C:\sysprep.inf
  • C:\sysprep\sysprep.xml
  • C:\Windows\Panther\Unattend\Unattended.xml
  • C:\Windows\Panther\Unattended.xml

6.1.1.7. 票据信息

• cmdkey /l
• klist
• msf meterpreter

6.1.1.8. 特殊文件

• 文档

  • xlsx / xls
  • docx / doc
  • pptx / ppt
  • vsdx / vsd
  • md / txt

• 压缩文件

  • zip / rar / 7z

• VPN配置

  • ovpn

• 代码

  • py / php / jsp / aspx / asp / sql

• 配置文件

  • conf / ini / xml

• 特定关键字

  • 账号 / 账户 / 登录 / login / user
  • 密码 / pass
  • 代码 / 文档 / 交接 / 备份 / git / svn
  • 邮箱 / 通讯录 / 集群 / 办公
  • 代理 / 内网 / VPN
  • 设备 / 资产
  • 系统 / 运维 / 拓扑 / 网络 / IT
  • 后台 / 管理员 / 数据库
  • 监控 / 隔离 / 防火墙 / 网闸 / 巡检

6.1.1.9. 局域网存活主机

• NetBIOS扫描
• OXID扫描

6.1.1.10. 其他

• 启用的共享文件夹

• 回收站

• 最近运行的命令

• 访问文件历史记录

• 查看补丁安装情况

  • wmic qfe get Caption,Description,HotFixID,InstalledOn

• 日志与事件信息

  • wevtutil
  • eventvwr

• 注册表信息

  • reg

• 安装的各类 agent 监控软件

• 安装的杀毒软件

• 查看/设置后缀关联

  • assoc
  • assoc .ext=example

• PowerShell 版本

• .Net 版本

• Wi-Fi 密码