内网信息收集
本机信息收集
手动收集
-
收集范围
本机信息包括操作系统.权限,内网ip地址段,杀毒软件,端口,服务,补丁更新频率,网络连接,共享,会话。
如果是域内主机,操作系统,应用软件,补丁,服务,杀毒软件一般都是批量安装的。
-
查询网络信息
ipconfig /all
-
查询操作系统及软件信息:
-
查询操作系统和版本信息
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
英文操作系统就这个
c systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
systeminfo命令可以输出电脑的详细配置.非常重要的一个命令
-
查看系统体系结构
echo %PROCESSOR_ARCHITECTURE%
-
查看安装的软件与版本,路径等
使用wmic命令,将结果输入到文本文件中。具体命令wmic product get name,version
在cmd执行Powershell 版本的命令。
powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name , Version"
powershell上执行就是:
Get-WmiObject -class Win32_Product | Select-Object -Property name , Version
-
查询本机服务信息:
命令:wmic service list brief
-
查询进程列表
命令tasklist tasklist | findstr "进程名" #查找进程 tskill PID #强制关闭进程
wmic版命令查看进程信息wmic process list brief
见链接:
常见杀毒软件进程
杀毒软件进程检测工具 -
查看启动程序信息
wmic命令wmic startup get command, caption
-
查看计划任务
schtasks /query /fo LIST /v
-
查看主机开机时间
net statistics workstation
-
查询用户列表
net user
通过分析本机用户列表可以推断出内网机器和整个域的命名规则。
执行下面命令获取本地管理员net localgroup administrators
TEST/DOMain Admins表名它是是一个域成员,
执行下面命令查看在线的用户.query user || qwinsta
-
列出或断开本地计算机和所连接的客户端之间的会话。
命令: 此命令需要管理员权限net session
-
查询端口列表
此命令,可以查看本机端口开放的端口,和所对应的服务和应用程序netstat -ano
-
查看补丁列表
systeminfo
可以查看到本机打补丁的列表,进而通过对比分析。通过
windows提权辅助
这个网页,可以根据补丁信息来对比出来可以找到未打补丁的漏洞进而进行提权,并且一般域环境中,补丁都是批量安装的。
wmic命令类型查看补丁:wmic qfe get Caption,Description,HotFixID,InstalledOn
输出了,补丁的名称,描述,ID,安装时间等信息。
-
查询本机共享列表
执行下面命令,查看本机共享列表和可访问的域的共享列表(域共享在很多时候是相同的),net share
wmic 类型命令:wmic share get name,path,status
-
查询路由表和所有可用接口的ARP缓存表
命令:route print arp -a
描述:
查询路由表及所有可用的ARP(地址解析协议)缓存表
截图:
-
查询防火墙相关配置
-
关闭防火墙
命令:
windows server 2003 及之前的版本,netsh firewall set opmode disable
windows server 2003 之后的版本,
netsh advfirewall set allprofiles state off
注意此命令需要管理员权限
截图:
-
查看防火墙配置
命令:netsh firewall show config
截图:
-
修改防火墙配置
此命令需要管理员权限。
命令:
windows server 2003 及之前的版本,netsh firewall add allowedprogram c:\nc.exe "allow nc" enable
windows server 2003 之后的版本
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe
描述:
允许指定程序建立连接2>允许指定程序退出
命令:netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C:\nc.exe
3>允许3389端口放行,命令
此命令需要管理员权限。netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
4>自定义防火墙日志存储位置
netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"
注意:
此命令需要管理员权限。
默认文件位置是在:
c:\windows\system32\LogFiles\Firewall\
-
-
查看代理情况
命令;reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings"
描述:
查看服务器127.0.0.1的1080端口的代理配置情况。
截图:
-
查询并开启远程连接服务
-
查看远程连接端口
命令·reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber
描述:
在命令行中执行注册表查询语句,连接端口是0xd3d,转换后为3389
截图:
-
开启3389端口
在windows Server 2003中开启3389端口
命令:wmic path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnections 1
在windows Server 2008 和windows Server 2012中开启3389端口
wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnections 1
wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1
这条命令win10和win7都能使用
reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
今天先写到这里,这章内容是手动信息收集,下一章内容是自动化信息收集。
本文内容均来自于
内网安全攻防
-
-
-