手動查詢命令

本機網路配置資訊

ipconfig /all查詢網路配置資訊

可查詢代理資訊,否處於域中

查詢作業系統資訊和軟體資訊

1. systeminfo

通過systeminfo可以查詢OS名稱,版本,系統安裝時間,啟動時間,補丁,域資訊等

2. 檢視系統體系結構 echo %PROCESSOR_ARCHITECTURE%

3. 檢視安裝軟體的版本,路徑等

利用PowerShell命令，收集軟體的版本資訊： powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name,version"

查詢本機服務資訊

wmic service list brief

查詢程序資訊

tasklist

wmic process list brief

啟動程式資訊

wmic startup get command,caption

檢視計劃任務

schtasks /query /fo LIST /v

查詢使用者列表

本機使用者列表

net user

net localgroup administrators

query user 檢視使用者及登入狀態

net session

檢視本地計算機與所連線客戶端之間的對話

埠資訊

補丁資訊

systeminfo

除了systeminfo,還有 wmic qfe get Caption,Description,HotFixID,InstalledOn

本機共享列表

net share

wmic share get name,path,status

路由表和ARP快取表

route print

arp -a

防火牆

1. 關閉防火牆

Windows Server 2003及之前版本

命令：netsh firewall set opmode disable

Windows Server 2003之後版本

命令：netsh advfirewall set allprofiles state off

2. 檢視防火牆配置

命令： netsh advfirewall show allprofiles

3. 修改防火牆配置

Windows Server 2003及之前版本，允許指定程式全部連線

命令： netsh firewall add allowedprogram c:\nc.exe "allow nc" enable

Windows Server 2003之後版本，允許指定程式全部連線

命令： netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"

允許指定程式退出

命令： netsh advfirewall firewall add rule name="Allow nc" dir=out action=out program="C:\nc.exe"

允許3389埠放行

命令：netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

4. 自定義防火牆儲存位置

命令： netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"

代理資訊

reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

遠端埠

(1) 檢視遠端連線埠

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

0xd3d---3389

(2) 開啟遠端連線埠

在Windows Server 2003中開啟3389埠

命令： wmic path win32_terminalservicesetting where (__CLASS !="") call setallowsconnections 1

在其它系統（server2012、win7）開啟和關閉3389埠

開啟命令： REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

關閉命令： REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

自動資訊收集的一個指令碼

任何版本的Windows xp低許可權無法執行wmic，Windows 7以上版本的低許可權使用者允許訪問wmic並執行相關操作

for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"

wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html

許可權收集

檢視當前許可權

當內網中存在域時，本地普通使用者只能查詢本機相關資訊，不能查詢域內資訊。本地管理員使用者和域內使用者可以查詢域內資訊。原理：域內所有查詢都是通過域控制器實現的（基於LDAP協議），而這個查詢需要許可權認證，所以只有域內使用者才有這個許可權，當域使用者執行命令時，會自動使用Kerberos協議進行認證，無須額外輸入賬號密碼。

whoami

獲取域SID

whoami /all

查詢指定使用者資訊

net user username /domain