信息收集
主机内部收集:
1、ip:
ipconfig/all
2、进程收集:
tasklist
3、服务
services.msc
4、端口
netstat -an
5、软件安装
查看默认安装目录
6、文件目录
查看系统的一些文件 或目录
7、cookie
查看浏览器cookie缓存
8、文件共享缓存信息
//1 ftp://
9、远程桌面登陆缓存
mstic
10、ftp登陆缓存
11、软件下载目录
下载软件…
12、管理员信息
net user
13、用户信息
14、sam密码信息
wedum7
getpass.exe
15、账号信息
16、开机启动信息
msconfig
17、防护信息
tasklist、默认安装目录
18、查看删除的资料
回收站、数据恢复软件
19、日志信息
网站日志、系统登陆日志
20、用户登陆信息
query user
……
网络收集
1、arp -a
2、net view
3、portscan
nmap
192.168.1.20 /24
192.168.1.1-254
ARP欺骗
ARP原理:
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。