1.在被攻击的主机上上线木马
启动Cobaltstrike设置一个监听
之后生成windows后门
最后把生成的木马上传到被攻击的主机上,双击运行即可,这里可以用cs进行信息搜集
2.进行信息搜集
为了方便,我们直接在拿下的被攻击机上进行信息搜集
域环境判断
(1)查看网卡和IP信息
ipconfig /all //判断是否在域内及网卡和IP信息
存在域环境的主机
不存在域环境的主机
(2)查看系统信息
systeminfo //此命令能看到域详细信息和补丁包安装情况
(3)查看当前登录域及与用户
net config workstation //查看当前登录域及与用户和是否域用户
域环境下:
非域用户下:
(4)查看域内时间
net time /domian //主要用于域内时间判断,域内能使用,非域环境不可用
域环境下:
非域环境下:
本机信息搜集(只针对windows)
(1)查看网卡和ip信息
ipconfig /all //网卡和IP信息查看
(2)查看操作系统和版本信息
英文系统:
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
中文系统:
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
(3)查看系统体系架构
echo %PROCESSOR_ARCHITECTURE%
(4)查看安装的软件及版本、路径
wmic product list brief
(5)查询本机服务信息
wmic service list brief
(6)查询进程列表
tasklist //通常搭配一些参数使用
tasklist /v //查看当前进程列表对应的用户身份
tasklist /svc //查看当前进程下是否有杀毒软件
(7)查看启动程序信息
wmic startup get command,caption
(8)查看计划任务
schtasks /query /fo LIST /v
(9)查看主机开机时间
net statistics workstation
(10) 查看存在的用户
net user
(11)查看当前在线用户
net user || qwinsta
(12)查看主机端口开放情况
netstat -anto
(13)补丁情况查询
systeminfo
(14)查看路由表及所有可用接口的ARP缓冲表
route print
arp -a
(15) 查看防火墙配置
netsh firewall show config
域内信息搜集
(1)获取域SID
whoami /all
(2) 查询域内用户
net user /domain
net user 用户名 /domain //更换用户名可查看不同用户的信息
(3) 查询域列表(多个域)
net view /domain
(4)查询管理员列表
net group "domain admins" /domain
(5)查看域内时间
net time /domain
(6)查看域内用户组列表
net group /domain
(7)查看主域控制器
netdom query pdc
(8)查看所有域控制器列表
net group "Domain Contrallers" /domain
(9)查看域信任信息
nltest /domain_trusts
(10)查询域密码信息
net accounts /domain