文章目录
- 一、基础信息收集
- 1、查看系统详细信息
- 2、查看系统中是否存在杀软
- 3、查看系统开启的服务
- 3、其他命令
- 二、凭据信息收集
- 2.1 wifi信息
- 2.2 相关工具
- 三、横向信息收集
一、基础信息收集
收集版本、补丁、服务、任务、防护等。
1、查看系统详细信息
systeminfo # 查看系统配置,可以看到是否有域、补丁程序等
2、查看系统中是否存在杀软
1. tasklist # 列出当前系统允许的所有进程
2. #用windows在线网站比对进程,一次判断是否存在杀软
3、查看系统开启的服务
net start # 查看已经启动的服务,通过开启的服务可能判断出这台主机所处的角色
3、其他命令
net user # 查看所有本机用户
net user /domain # 查看所有域用户
net share # 查看存在的共享
net view # 查看所有网络邻居
schtasks # 计划任务
查找域控服务器
一般DNS服务是安装在域控上的
ipconfig /all
net user /domain # 查看是否存在域,只能判断是否存在域,普通用户执行该命令会报错
net view /domain # 查看是否存在域,只能判断是否存在域,普通用户执行该命令会报错
net time /domain # 判断主域,也就是域控主机,因为域内的主机都需要和域控主机进行时间同步,以域控时间为准
显示出来的域名,就是域控的域名,可以直接ping
通。
nslookup <域名> # 获取域控IP
ping <域名> # 获取域控IP
net group /domain # 获取域用户组信息
Domain Admins # 域管理员,默认对域控有完全控制权
Domain Computers # 查看域内有哪些主机
Domain Controllers # 查看域控主机有哪些
Domain Guest # 域访客,权限低
Doman Users # 普通域用户
Enterprise Admins # 企业系统管理员,默认对域控制器有完全控制权(几乎没用过)
whoami /all # 用户权限
net config workstation # 登录信息
net user # 本地用户
net localgroup # 本地用户组
net user /domain # 获取域用户信息
net group /domain # 获取域用户组信息
wmic useraccount get /all # 涉及域用户详细信息
net group "Domain Admins" /domain # 查询域管理员账户
net group "Enterprise Admins" /domain # 查询域管理员用户组
whoami /all # 用户权限
每个用户登录成功,都会有一个SID
,创建的文件中都会有相应的属性。
net config workstation # 登录信息
加入域后,域内机器可以通过域名(短域名可以,完整域名也可以)进行通信。
net group "Enterprise Admins" /domain # 查询域管理员用户组
这里多了一个
$
。
二、凭据信息收集
2.1 wifi信息
netsh wlan show profiles # 查看本机已连接的wifi配置文件
netsh wlan show profiles name="无线名称" key=clear # 显示指定wifi的明文密码(key=clear)
2.2 相关工具
mimikatz
是用来获取系统密码的,mimikatz
一定要以管理员身份运行。windows上用mimikatz
,linux下用mimipenguin,需要root权限。CS插件黑魔鬼,可以收集Xshell凭据。
各种协议获取口令:CS插件:Lazagne、XenArmor
。
三、横向信息收集
ping
不同,但是有IP地址,说明机器存活,但是可能有防火墙,防火墙反正ping。
# 探测域控服务器和地址信息
net time /domian # 获取域控服务器IP
nslookup # 解析域名
ping <ip>
# 探测域内存活主机及地址信息
nbtscan 192.168.20.0/24 # 扫描网段,不免杀,基于netbois协议进行主机发现
for /L %I in (1,1,254) DO @ping -w 1 -n 192.168.3.%I | findstr "TTL=" # 推荐使用,免杀
# for /L %I in (1,1,254):这是一个循环语句,用于迭代从 1 到 254 的数字,表示 IP 地址的最后一位。/L 表示使用数字范围进行循环。中间的1是间隔
# @ping -w 1 -n 192.168.3.%I:在每次迭代中,使用 ping 命令来向指定的 IP 地址发送一个 ICMP 回应请求。-w 1 参数表示等待 1 毫秒来接收回应,-n 参数指定要 ping 的 IP 地址.
# | findstr "TTL=":通过使用管道 | 将 ping 命令的输出传递给 findstr 命令。findstr 命令用于在文本中搜索指定的字符串,这里搜索包含 "TTL=" 的行。
nmap、masscan、powershell脚本、nishnag、empire等
nbtscan 192.168.20.0/24 # 扫描网段
域控会在有DC
字符。
CS插件:Fscan
端口:5432
:redis;7001
:weblogic;8080
:jboss;11211
:memcache;27017
:MongoDB。
nishang是基于powershell的,win7以后才能用nishang
,不容易被杀掉。
# 设置执行策略,输入Set-ExecutionPolicy RemoteSigned,有选项提示选择Y,运行本地的script不需要数字签名,但是运行从网上下载的script需要数字签名
Set-ExecutionPolicy RemoteSigned
Set-ExecutionPolicy Bypass
# 导入模块
Import-Module .\nishang.psml
# 获取模块nishang的命令函数
Get-Command -Module nishang
# 获取常规计算机信息
Get-Information
# 端口扫描
Invoke-PortScan -StartAddress 192.168.241.0 -EndAddress 192.168.241.100 -ResolveHost -ScanPort # 从192.168.241.0扫到192.168.241.100,扫得慢