内网学习之信息收集

Windows信息收集

用户操作

query user #查看当前在线的用户

whoami #查看当前用户

net user #查看当前系统的用户

net1 user #查看当前系统的用户

net user /domain #查看当前域里面的用户

net user administrator #查看当前用户的详细信息

net localgroup #查看本地用户组

net localgroup administrators #查看管理组中的成员

网络操作

ipconfig /all #查看当前机器的ip

netstat -ano #查看有哪些网络连接端口

net view #查看在同一工作组中的机器

net1 view /domain #判断是否有域

route print #查看路由表

arp -a #查看arp表

系统操作

set #查看系统的环境变量

systeminfo #查看当前操作系统信息，关注【补丁号】！！！

tasklist #查看进程名称以及PID号

net start #查看服务

软件安装信息查询

dir /a "c:program files" #查看当前系统的安装的软件

dir /a "c:program files(x86)"

收集hash

wce lassa.exe获取

pwdump7 lassa.exe获取

mimikatz lassa.exe获取

QuarksPwDump lassa.exe获取

getpass SAM/system

SAMinside SAM/system

主动收集

搜索文件

判断主机存活

用户习惯收集

用户桌面信息收集

C:Users用户名Desktop

查看文件：type 文件名

浏览器信息收集

收藏夹信息收集

Chrome：

C:Users用户名AppDataLocal|Google|ChromeUser DataDefault

IE：

C:Users|用户名Favorites

Firefox

下载目录信息收集

C:Users用户名Download

迅雷

百度云

浏览器记录收集

聊天工具收集

QQ

微信

系统日志收集

登录日志

服务日志

Linux信息收集

基础情况

ifconfig

route #查看路由

whoami #查看当前用户

id #查看当前用户id

id test #查看test用户信息

w #查看当前系统活动用户

lastlog # 查看用户登陆日志

用户列表

cat /etc/passwd #查看用户列表

cat /etc/group #查看用户组

awk -F: '($3 == "0"){print}' /etc/passwd #列出超级用户

端口列表

netstat -an

netstat -antlp #查看tcp连接

系统类型和内核版本

cat /etc/issue #查看系统名称

uname -a #查看内核信息

进程信息

ps aux #查看进程信息

ps -ef

软件包和服务配置收集

dpkg -l #查看安装的软件包

rpm -qa #查看安装的软件包

cat /etc/service #查看系统存在的服务

cat /etc/syslog.conf

cat /etc/chttp.conf

cat /etc/lighttpd.conf

cat /etc/cups/cupsd.conf

cat /etc/inetd.conf

cat /etc/apache2/apache2.conf

cat /etc/my.conf

cat /etc/httpd/conf/httpd.conf

cat /opt/lampp/etc/httpd.conf

用户登录信息

/var/log/wtmp

/var/log/btmp

网络配置

cat /etc/network/interfaces #网卡配置

cat /etc/resolv.conf #dns配置

hostname #查看主机名

arp -a #网络拓扑收集

日志信息收集

HTTP日志

/var/log/apache2/access.log

MySQL日志

/var/log/mysql/error.log

apt日志

/var/log/apt/history.log

第三方信息收集

mssql

mysql

ssh

ftp

mail