内网信息收集
概述:
首先要对当前所处的网络环境进行判断,即对当前机器进行如下三个判断:
我是谁?——当前机器角色的判定
这是哪?——当前机器所处的网络环境的拓扑结构进行分析和判断。
我在哪?——当前机器所处区域的判断
我是谁?具体判断过程:是根据机器的主机名,文件,网络连接等情况综合完成的。
这是哪? 具体判断过程:对所处内网进行全面的数据收集和分析整理,绘制出大致的内网整体拓扑结构图
我在哪? 是DMZ还是办公区还是核心区。当然,这里的区域并非是绝对的。处于不同环境的网络,环境不一样,区域界线也不一定明显。
手动收集信息
本机信息包括操作系统,权限,内网ip地址段,杀毒软件,端口,服务,补丁更新频率,网络连接,共享,会话等。如果是域内主机,操作系统,应用软件,补丁,服务,杀毒软件一般都是批量安装的。
1.查网络配置信息
ipconfig /all
2.查操作系统及软件信息
- 查操作系统和版本信息
systeminfo | findstr /b /c:"os Name" /c:"os Version" 若是中文版则将Name和Version换成名称和版本
- 查系统体系结构
echo %PROCESSOR_ARCHITECTURE%
- 查安装的软件及版本和路径
wmic product get name,version
wmic命令可将结构输出到文本文件中
3.查本机服务信息
wmic service list brief
4.查进程列表
wmic process list brief
查进程列表和进程用户
tasklist
5.查启动程序信息
wmic startup get command,caption
6.查计划任务
schtasks /query /fo LIST /v
7.查开机时间
net statistics workstation
8.查用户列表
net user
查本地管理员信息
net localgroup administrators
查当前在线用户
query user|| qwinsta
9.列出或断开本机与所连的客户端之间的会话
net session
10.查端口
netstat -ano
11.查补丁列表
wmic qfe get Caption,Description,HotFixID,InstalledOn
查系统详细信息
systeminfo
12.查本机共享列表
net share
wmic share get name,path,status
13.查路由表及所有可用接口的ARP缓存表,route print arp -a
14.防火墙
15.用户及用户组信息
- whoami 显示当前组.用户和权限。如果没参数使用whoami则显示当前的域和用户名
- whoami/user 查看当前用户的用户名和sid
- whoami/groups 查看当前用户所属的用户名
- whoami/priv 查看当前用户的权限
- whoami/all=上述所有
- net user添加或修改用户账号或显示用户账户信息(本地)
- net user “admin” 查看admin用户的详细信息
- net localgroup 添加,显示或修改本地组
- net localgroup “administrators" 查看administrators组的信息及成员
- net accounts 更新用户账户数据库并修改所有账户数据库并修改所有账户的密码和登录要求,可用来查看密码策略等信息。