內網資訊收集(Windows)--本機資訊收集
手動查詢命令
本機網路配置資訊
ipconfig /all查詢網路配置資訊
可查詢代理資訊,否處於域中
查詢作業系統資訊和軟體資訊
- systeminfo
通過systeminfo可以查詢OS名稱,版本,系統安裝時間,啟動時間,補丁,域資訊等
- 檢視系統體系結構 echo %PROCESSOR_ARCHITECTURE%
- 檢視安裝軟體的版本,路徑等
利用PowerShell命令,收集軟體的版本資訊: powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name,version"
查詢本機服務資訊
wmic service list brief
查詢程序資訊
tasklist
wmic process list brief
啟動程式資訊
wmic startup get command,caption
檢視計劃任務
schtasks /query /fo LIST /v
查詢使用者列表
本機使用者列表
net user
net localgroup administrators
query user 檢視使用者及登入狀態
net session
檢視本地計算機與所連線客戶端之間的對話
埠資訊
補丁資訊
systeminfo
除了systeminfo,還有 wmic qfe get Caption,Description,HotFixID,InstalledOn
本機共享列表
net share
wmic share get name,path,status
路由表和ARP快取表
route print
arp -a
防火牆
- 關閉防火牆
Windows Server 2003及之前版本
命令:netsh firewall set opmode disable
Windows Server 2003之後版本
命令:netsh advfirewall set allprofiles state off
- 檢視防火牆配置
命令: netsh advfirewall show allprofiles
- 修改防火牆配置
Windows Server 2003及之前版本,允許指定程式全部連線
命令: netsh firewall add allowedprogram c:\nc.exe "allow nc" enable
Windows Server 2003之後版本,允許指定程式全部連線
命令: netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"
允許指定程式退出
命令: netsh advfirewall firewall add rule name="Allow nc" dir=out action=out program="C:\nc.exe"
允許3389埠放行
命令:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
- 自定義防火牆儲存位置
命令: netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"
代理資訊
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
遠端埠
(1) 檢視遠端連線埠
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
0xd3d---3389
(2) 開啟遠端連線埠
在Windows Server 2003中開啟3389埠
命令: wmic path win32_terminalservicesetting where (__CLASS !="") call setallowsconnections 1
在其它系統(server2012、win7)開啟和關閉3389埠
開啟命令: REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
關閉命令: REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f
自動資訊收集的一個指令碼
任何版本的Windows xp低許可權無法執行wmic,Windows 7以上版本的低許可權使用者允許訪問wmic並執行相關操作
for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html
許可權收集
檢視當前許可權
當內網中存在域時,本地普通使用者只能查詢本機相關資訊,不能查詢域內資訊。本地管理員使用者和域內使用者可以查詢域內資訊。原理:域內所有查詢都是通過域控制器實現的(基於LDAP協議),而這個查詢需要許可權認證,所以只有域內使用者才有這個許可權,當域使用者執行命令時,會自動使用Kerberos協議進行認證,無須額外輸入賬號密碼。
whoami
獲取域SID
whoami /all
查詢指定使用者資訊
net user username /domain