[内网信息收集] 本机信息收集

发布于 2021-08-16  120 次阅读


要收集那些本机信息

  • 本机信息包括操作系统、权限、内网IP地址段杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等。
  • 如果是域内主机,操作系统、应用软件、补丁、服务、杀毒软件一般都是批量安装的。通过本机的相关信息,可以进一步了解整个域的操作系统版本、软件及补丁安装情况、用户命名方式。
  • 本机信息收集是内网渗透中极为重要的一环,是后续权限维持,横向移动,纵向移动的支撑。如果是域内主机的化,还能帮助去收集域内信息,因此在内网渗透中一定要做好信息收集。

手动信息收集

获取本机网络配置信息

  • ipconfig /all

查询操作系统和版本信息

  • systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 英文版
  • systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" 中文版

查看系统体系结构

  • echo %PROCESSOR_ARCHITECTURE%

查看进程名称和版本信息

  • wmic product get name version
  • powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name, version"

查询本机服务信息

  • wmic service list brief

查看当前进程列表和进程用户

  • tasklist
  • wmic process list brief

常见杀软的进程

image-20210811130944753

查看启动程序信息

  • wmic startup get command,caption

查看计划任务

  • schtasks /query

查看主机开机时间

  • net statistics workstation

查看用户列表

  • net user 全部用户
  • query user || qwinsta 查询本地管理员

与连接的客户端之间的会话

  • net session 需要管理员权限

查询端口列表

  • netstat -ano

查看补丁列表

  • systeminfo
  • wmic qfe get Caption,Description,HotFixID,InstalledOn包含补丁的名称,描述,ID,安装时间等信息

查询本机共享列表

  • net share
  • wmic share get name,path,status
  • 查询路由表一所有可用接口的APR缓存表
    • route print
    • arp -a

防火墙相关配置

  • 关闭防火墙
    • netsh firewall set opmode disable windows Server2003及以前的版本
    • netsh advfirewall set allprofiles state off Windows Server2003 之后的版本
  • 查看防火墙配置
    • netsh firewall show config
  • 修改防火墙配置
    • netsh firewall add allowedprogram c:\nc.exe "allow nc" enableWindows Server2003及之前的版本,允许指定程序全部连接
    • netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C;\nc.exe"Windows Server2003之后的版本,允许指定程序进入
    • netsh advfirewall add rule name="allow nc" dir=out action-allow program="c:\nc.exe"
    • netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow 允许3389端口放行
  • 自定义防火墙日志的存储位置
    • netsh advfirewall set currentprofile logging filename "c:\wimdows\temp\fw.log"

查看代理配置

  • reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

查询并开启远程连接服务

  • reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp" /V PortNumber

查询当前权限

  • whoami /all
  • net user xxx /domain

自动化信息收集

# 使用以下代码保存.bat为文件,执行脚本后,会将所有结果写入一个 HTML 文件。

for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"

wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html