本机信息收集
一、手工
1.查询网络配置信息: ipconfig /all
2. 查询操作系统和版本信息: systeninfo
查看系统体系架构:echo %PROCESSOR_ARCHITECTURE%
查看安装的软件及版本信息: wmic product get name,version
3.查询本机服务信息: wmic service list brief
4.查询进程列表: tasklist or wmic process list brief
识别杀软:提权辅助网页 Windows提权辅助 (hacking8.com)
Windows杀软在线对比辅助 (shentoushi.top)
5.查看启动程序信息:wmic startup get command,caption
6. 查看计划任务 : schtasks /query /fo LIST /v
关闭防火墙
netsh advfirewall set allprofiles state off
查看防火墙配置
netsh firewall show state
netsh firewall show config
修改防火墙配置
~允许指定程序入站
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="c:\nc.exe"
~允许指定程序出站
netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="c:\nc.exe"
~允许 3389 端口放行
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
~指定端口开放 or 禁用
netsh advfirewall firewall add rule name=禁用TCP端口 dir=in action=block protocol=TCP localport="135-139,445,3389"
netsh advfirewall firewall add rule name=禁用UDP端口 dir=in action=block protocol=UDP localport="135-139,445"
# 允许 4444 端口入站
netsh advfirewall firewall add rule name=allow_tcp dir=in action=allow protocol=TCP localport=4444
~删除某一条规则
netsh advfirewall firewall delete rule name="allow_tcp"
~自定义防火墙日志的储存位置
netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
二、wmic自动收集
域内信息收集
1.查询当前权限:whoami
2.获取域SID :whoami /all Tip:S-1-5-21-3400743657-2482171024-2725879596-500 500之前为域SID,加上500为域内主机SID
ipc$:
1. 建立连接
net use \\10.1.1.128\IPC$
2.删除连接
net use \\10.1.1.128\IPC$ del
3.查看远程主机时间
net time \\10.1.1.128
4.查看远程主机的共享资源
net view \10.1.1.128