收集本机的信息
手动收集信息
ipconfig /all
tasklist //查看当前进程列表和进程用户
wmic process list brief //查看进程信息
netstat -an | findstr "3389" //查看3389端口是否开启
查看启动程序信息
wmic startup get command,caption
schtasks /query /fo LIST /v //查看计划任务
net statistics workstation //查看主机开机时间
net user //查询用户列表
net localgroup administrators //获取本地管理员(通常包含域用户)信息
默认Domain Admins组中为域内机器的管理员用户
query user || qwinsta //查看当前在线用户
net session //列出或断开本地计算机与所连接的客户端之间的会话
systeminfo //查看系统详细信息
wmic qfe get Caption,Description,HotFixID,InstalledOn //查看安装在系统中的补丁
net share //查看本机共享列表和可访问的域共享列表
wmic share get name,path,status //wmic命令查看
route print
arp -a
防火墙相关配置
(1)关闭防火墙
Windows Server 2003及之前版本
netsh firewalll set opmode disable
Windows Server 2003之后版本
netsh advfirewall set allprofiles state off
(2)查看防火墙配置
netsh firewall show config
(3)修改防火墙配置
Windows Server 2003及之前版本
netsh firewall add allowedprogram c: c.exe "allow nc" enable
Windows Server 2003之后版本
·允许指定程序进入
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C: c.exe"
·允许程序退出
netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C: c.exe"
·允许3389端口放行
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
(4)自定义防火墙日志的存储位置
netsh advfirewall set currentprofile logging filename "C:windows empfw.log"
查询并开启远程连接服务
(1)查询远程连接端口
netstat -an | find "3389" //查看3389端口是否开启
REG QUERY "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerwinStationsRDP-Tcp" /V PortNumber
(2)在 Windows Server2003中开启3389端口
wmic path win32 terminalservicesetting where(__CLASS! ="") call setallowtsconnections 1
(3)在 Windows Server2008和 Windows Server2012中开启3389端口
wmic /namespace:\rootcimv2 erminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1 wmic/namespace:\rootcimv2 erminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1 reg add "HKLM SYSTEMCURRENTCONTROLSETCONTROLTERMINAL SERVER" /v fSinglesessionPerUser /t REG_DWORD /d 0 /f
(4)Windows 7
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
自动信息收集
Wimc(管理工具命令行)是最有用的windows命令行工具。默认情况下,任何版本的windowsXP的低权限用户不能访问WMIC,Windows 7以上版本的地权限用户允许访问WIMC并执行相关查询操作
下载:http://www.fuzzysecurity.com/scripts/files/wmic_info.rar
执行脚本会生成一个html文件
Empire 下主机信息收集: https://blog.csdn.net/Fly_hps/article/details/80563407
usemodule situational_awareness/host/winenum :查看本机用户、域组成员、密码设置时间、剪贴板内容、系统基本信息、网络适配器信息等
situational_awareness/host/computerdetails 模块几乎包含了系统中所有有用的信息
查询当前权限
whoami
-
本地普通用户
-
本地管理员用户
-
域内用户
获取域sid
whoami /all
查询指定用户详细信息
net user xxx /domain
可以看到,此用户属于domain组
判断域
ipconfig /all
systeminfo
查询当前登录域及登录用户信息
net config workstation
判断主域
net time /domain
-
存在域,但当前用户不是域用户 :拒绝访问
-
存在域,且当前用户是域用户
-
当前网络环境为工作组:找不到WORKGROUP的域控制器
探测域内存活主机
利用NetBIOS工具
利用ICMP协议快速探测内网
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.0.%I |findstr "TTL="
扫描域内端口
Metasploit端口扫描
-
auxiliary/scanner/portscan/tcp
PowerSploit 的 Invoke-portscan.ps1
Nishang :Invoke-PortScan模块
端口Banner信息
banner 信息来表示欢迎语,其中会包含一些敏感信息,所以获取 banner 也属于信息搜集的范畴。在渗透测试中,典型的 4xx、5xx 信息泄露就属于 banner 泄露的一种。在 banner 信息中,可以获取到软件开发商、软件名称、服务类型、版本号等。而版本号有时候就会存在公开的 CVE 问题,可以直接进行利用。
收集域内基础信息
查询域 net view /domain
查询域内所有主机 netview /domain:域名
查询域内所有用户组列表 net view /domain
系统自带的常见用户身份如下
默认情况下Domain Admins、Enterprise Admins对域内控制器有完全控制权限
Domain Admins:域管理组
Domain Users:组用户组
Domain Computers:域内机器
Domain Guest :域访客,权限较低
Enterprise Admins:企业系统管理组
Schema Admins:架构管理员组
查询所有域成员计算机列表
net group "domain computer" /domain
获取域密码信息
net accounts /domain
获取域信任信息
nltest /domain_trusts
查找域控制器
查看域控制器的机器名
nltest /DCLIST:god
域控制器机器名为OWA
查看域控制器的主机名
Nslookup -type=SRV _ldap._tcp
域控制器的主机名为dc
查看当前时间
net time /domain
查看域控制器组
net group "Domain Controllers" /domain
获取域内的用户和管理员信息
查询所有与用户列表
获取域内用户详细信息
wmic useraccount get /all
查看存在的用户
dsquery user (win server2008)
查询本地管理员组用户
net localgroup administrators
查询管理员用户组
net group "Enterprise Admins" /domain