内网信息收集
概述
内网信息收集需要判断三个方面:
对当前机器角色的判断;
对当前机器所处网络环境的拓扑结构进行分析和判断;
对当前机器所在区域的判断。
对当前机器角色的判断:是指判断当前机器是普通Web服务器,开发测试服务器,公共服务器,文件服务器,代理服务器,DNS服务器还是储存服务器等。
对当前机器所处网络环境的拓扑结构进行分析和判断:是指对所处内网进行全面的数据收集和分析整理,得到大致的内网整体拓扑结构图。
对当前机器所在区域的判断:是指判断机器处于,网络拓扑中的哪个区域,是在DMZ,办公区还是在核心区。
收集本机信息
本机信息包括操作系统,权限,内网IP地址段,杀毒软件,端口,服务,补丁更新频率,网络连接,共享,会话等。如果是域内主机,操作系统,应用软件,补丁,服务,杀毒软件一般都是批量安装的。
手动收集本机信息
查询网络配置信息
获取本机网络配置信息
ipconfig /all
查询操作系统及软件的信息
1.查询操作系统和版本信息
英文操作系统
systeminfo | findstr /B /C:“OS Name” /C:“OS Version”
中文操作系统
systeminfo | findstr /B /C:“OS 名称” /C:“OS 本”
当电脑版本为中文操作系统时使用第一条指令无效需要使用第二条指令,英文操作系统同理。
2.查看系统体系结构
echo %PROCESSOR_ARCHITECTURE%
3.查看安装的软件及版本,路径等
wmic product get name,version
查询本机服务信息
wmic service list brief
查询进程列表
查询进程列表
tasklist
查询进程信息
wmic process list brief
常见杀毒软件进程
“360tray.exe”: “360安全卫士-实时保护”,
“360safe.exe”: “360安全卫士-主程序”,
“ZhuDongFangYu.exe”: “360安全卫士-主动防御”,
“360sd.exe”: “360杀毒”,
“a2guard.exe”: “a-squared杀毒”,
“ad-watch.exe”: “Lavasoft杀毒”,
“cleaner8.exe”: “The Cleaner杀毒”,
“vba32lder.exe”: “vb32杀毒”,
“MongoosaGUI.exe”: “Mongoosa杀毒”,
“CorantiControlCenter32.exe”: “Coranti2012杀毒”,
“F-PROT.exe”: “F-Prot AntiVirus”,
“CMCTrayIcon.exe”: “CMC杀毒”,
“K7TSecurity.exe”: “K7杀毒”,
“UnThreat.exe”: “UnThreat杀毒”,
“CKSoftShiedAntivirus4.exe”: “Shield Antivirus杀毒”,
“AVWatchService.exe”: “VIRUSfighter杀毒”,
“ArcaTasksService.exe”: “ArcaVir杀毒”,
“iptray.exe”: “Immunet杀毒”,
“PSafeSysTray.exe”: “PSafe杀毒”,
“nspupsvc.exe”: “nProtect杀毒”,
“SpywareTerminatorShield.exe”: “SpywareTerminator杀毒”,
“BKavService.exe”: “Bkav杀毒”,
“MsMpEng.exe”: “Microsoft Security Essentials”,
“SBAMSvc.exe”: “VIPRE”,
“ccSvcHst.exe”: “Norton杀毒”,
“f-secure.exe”: “冰岛”,
“avp.exe”: “Kaspersky”,
“KvMonXP.exe”: “江民杀毒”,
“RavMonD.exe”: “瑞星杀毒”,
“Mcshield.exe”: “Mcafee”,
“Tbmon.exe”: “Mcafee”,
“Frameworkservice.exe”: “Mcafee”,
“egui.exe”: “ESET NOD32”,
“ekrn.exe”: “ESET NOD32”,
“eguiProxy.exe”: “ESET NOD32”,
“kxetray.exe”: “金山毒霸”,
“knsdtray.exe”: “可牛杀毒”,
“TMBMSRV.exe”: “趋势杀毒”,
“avcenter.exe”: “Avira(小红伞)”,
“avguard.exe”: “Avira(小红伞)”,
“avgnt.exe”: “Avira(小红伞)”,
“sched.exe”: “Avira(小红伞)”,
“ashDisp.exe”: “Avast网络安全”,
“rtvscan.exe”: “诺顿杀毒”,
“ccapp.exe”: “Symantec Norton”,
“NPFMntor.exe”: “Norton杀毒软件相关进程”,
“ccSetMgr.exe”: “赛门铁克”,
“ccRegVfy.exe”: “Norton杀毒软件自身完整性检查程序”,
“vptray.exe”: “Norton病毒防火墙-盾牌图标程序”,
“ksafe.exe”: “金山卫士”,
“QQPCRTP.exe”: “QQ电脑管家”,
“Miner.exe”: “流量矿石”,
“AYAgent.exe”: “韩国胶囊”,
“patray.exe”: “安博士”,
“V3Svc.exe”: “安博士V3”,
“avgwdsvc.exe”: “AVG杀毒”,
“QUHLPSVC.exe”: “QUICK HEAL杀毒”,
“mssecess.exe”: “微软杀毒”,
“SavProgress.exe”: “Sophos杀毒”,
“fsavgui.exe”: “F-Secure杀毒”,
“vsserv.exe”: “比特梵德”,
“remupd.exe”: “熊猫卫士”,
“FortiTray.exe”: “飞塔”,
“safedog.exe”: “安全狗”,
“parmor.exe”: “木马克星”,
“Iparmor.exe.exe”: “木马克星”,
“beikesan.exe”: “贝壳云安全”,
“KSWebShield.exe”: “金山网盾”,
“TrojanHunter.exe”: “木马猎手”,
“GG.exe”: “巨盾网游安全盾”,
“adam.exe”: “绿鹰安全精灵”,
“AST.exe”: “超级巡警”,
“ananwidget.exe”: “墨者安全专家”,
“AVK.exe”: “GData”,
“avg.exe”: “AVG Anti-Virus”,
“spidernt.exe”: “Dr.web”,
“avgaurd.exe”: “Avira Antivir”,
“vsmon.exe”: “ZoneAlarm”,
“cpf.exe”: “Comodo”,
“outpost.exe”: “Outpost Firewall”,
“rfwmain.exe”: “瑞星防火墙”,
“kpfwtray.exe”: “金山网镖”,
“FYFireWall.exe”: “风云防火墙”,
“MPMon.exe”: “微点主动防御”,
“pfw.exe”: “天网防火墙”,
“S.exe”: “在抓鸡”,
“1433.exe”: “在扫1433”,
“DUB.exe”: “在爆破”,
“ServUDaemon.exe”: “发现S-U”,
“BaiduSdSvc.exe”: “百度杀毒-服务进程”,
“BaiduSdTray.exe”: “百度杀毒-托盘进程”,
“BaiduSd.exe”: “百度杀毒-主程序”,
“SafeDogGuardCenter.exe”: “安全狗”,
“safedogupdatecenter.exe”: “安全狗”,
“safedogguardcenter.exe”: “安全狗”,
“SafeDogSiteIIS.exe”: “安全狗”,
“SafeDogTray.exe”: “安全狗”,
“SafeDogServerUI.exe”: “安全狗”,
“D_Safe_Manage.exe”: “D盾”,
“d_manage.exe”: “D盾”,
“yunsuo_agent_service.exe”: “云锁”,
“yunsuo_agent_daemon.exe”: “云锁”,
“HwsPanel.exe”: “护卫神”,
“hws_ui.exe”: “护卫神”,
“hws.exe”: “护卫神”,
“hwsd.exe”: “护卫神”,
“hipstray.exe”: “火绒”,
“wsctrl.exe”: “火绒”,
“usysdiag.exe”: “火绒”,
“WEBSCANX.EXE”: “网络病毒克星”,
“SPHINX.EXE”: “SPHINX防火墙”,
“bddownloader.exe”: “百度卫士”,
“baiduansvx.exe”: “百度卫士-主进程”,
“AvastUI.exe”: “Avast!5主程序”
查看启动程序信息
>wmic startup get command,caption
查看计划任务
schtasks /query /fo LIST /V
查看主机开机时间
net statistics workstation
查询用户列表
1.查看本机用户列表
net user
通过分析本机用户列表,可以找出内网机器的命名规则。特别是个人机器的名称,可以用来推测整个域的用户命名方式
2.获取本地管理员(通常包含域用户)信息
net localgroup administrators
在真实的环境中,为了方便管理,会有域用户被添加为机器的本地管理员用户
列出或断开本地计算机与所连接客户端之间的对话
net session
此命令需要在管理员模式下运行才能够起作用。
管理员模式之下运行
非管理员模式下运行
查询端口列表
netstat -ano
该命令可以看到当前机器和哪些主机建立连接,以及 TCP , UDP等端口的使用和监听情况。
查看补丁列表
1.查看系统的详细信息
systeminfo
2.查看安装在系统中的补丁
wmic qfe get Caption,Description,HotFixID,InstalledOn
查询本机共享列表
1.查看本机共享列表和可访问的域共享列表
net share
2.查找共享列表
wmic share get name,path,status
查询路由表及所有可用接口的ARP缓存表
1.查看路由表
route print
2.ARP缓存表
arp -a
查询防火墙相关配置
1关闭防火墙
Windows Server 2003及之前的版本
netsh firewall set opmode disable
Windows Server 2003之后的版本
netsh advfirewall set allprofiles state off
2.查看防火墙配置
netsh firewall show config
3.自定义防火墙日志的储存位置
netsh advfirewall set currentprofile logging filename “自定义路径”
8864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
