收集本机信息
手动收集信息
1、查询网络配置信息
ipconfig /all
2、查询操作系统及软件信息
- 查询操作系统和版本信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
- 查看系统体系结构
echo %PROCESSOR_ARCHITECTURE%
- 查看安装的软件版本
wmic命令
wmic product get name,version
Powershell命令
powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name,Version"
3、查询本机服务信息
wmic service list brief
4、查询进程列表
tasklist
wmic process list brief
5、查看启动程序信息
wmic startup get command,caption
6、查看计划任务
schtasks /query /fo LIST /v
7、查看开机时间
net statistics workstation
8、查询用户列表
- 本机用户列表
net user
- 获取本地管理员(通常包含域用户)信息
net localgroup administrator
- 查看当前在线用户
query user || qwinsta
9、列出或断开本地计算机与所连接的客户端之间的会话
net session
10、查询端口列表
netstat -ano
11、查看补丁列表
-
查看系统详细信息
systeminfo
-
wmic 命令查看安装在系统中的补丁
wmic qfe get Caption,Description,HotFixID,InstalledOn
12、查询本地共享列表
-
查看本地共享列表和可访问的域共享列表
net share
-
wmic 命令查看找共享列表
wmic share get name,path,status
13、查询路由表及所有可用接口的ARP 缓存表
route print
arp -a
14、查询防火墙相关配置
- 关闭防火墙
windows server 2003 之前版本
netsh firewall set opmode disable
windows server 2003之后版本
netsh advfirewall set allprofiles state off
- 查看防火墙配置
netsh firewall show config
- 修改防火墙配置
允许nc.exe 全部连接 windows server 2003之前版本
netsh firewall add allowedprogram c:\nc.exe "nc allow" enable
允许nc.exe 全部连接 windows server 2003之后版本
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"
允许nc.exe程序退出
netsh advfirewall firewall add rule nae="Allow nc" dir=out action=allow program="C:\nc.exe"
允许3389端口放行
netsh advfirewall firewall add rule name="Remote Desktop" Protocol=TCP dir=in localport=3389 action=allow
- 自定义防火墙日志存储位置
netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"
15、查看代理配置情况
注册表查询
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
16、查询并开启远程连接服务
- 查看远程连接端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V portNumber
- 在windows server 2003中开启3389端口
wmic path win32_terminalservicesetting where (__class !="") call setallowtsconnections 1
- windows server 2008及以上
wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__class !="") call setallowtsconnections 1
- 远程桌面连接历史记录
cmdkey /1
AD域
net config workstation # 查看当前登录域
net localgroup administrators # 本机管理员【通常含有域用户】
net localgroup administrators /domain # 登陆本机的域管理员
net user /domain # 显示所在域的用户名单
net user 域用户 /domain # 获取某个域用户的详细信息
net user /domain xxx 123453 # 修改域用户密码,需要域管理员权限
net group "domain admins" /domain # 获取域管理员列表
net group "domain controllers" /domain # 查看域控制器(如果有多台)
net group "domain computers" /domain # 查看域机器
net group /domain # 查询域里面的工作组
net view # 查看同一个域内所有机器列表
net view \\ip # 查看某IP共享
net view \\GHQ # 查看GHQ计算机的共享资源列表
net view /domain # 查看内网存在多少个域
net view /domain:XYZ # 查看XYZ域中的机器列表
net accounts /domain # 查看域用户密码过期等信息