内网渗透之信息收集-windows系统篇

windows

• 用户相关

  • query user #查看当前在线的用户
  • whoami #查看当前用户
  • net user #查看当前系统全部用户
  • net1 user #查看当前系统全部用户（高权限命令）
  • net user /domain #查看当前域全部用户
  • net user administrator #查看admin用户详细信息
  • net localgroup #查看本地用户组
  • net localgroup administrators #查看组中成员描述

• 网络相关

  • ipconfig /all #查看全部ip信息
  • netstat -ano #查看网络连接端口
  • net view #查看在同一工作组的机器
  • net view /domain #查看是否有域
  • route print #查看路由表
  • arp -a #查看arp表

• 系统相关

  • set #查看系统环境变量
  • systeminfo #查看系统信息
  • tasklist #查看进程名称以及pid号
  • net start #查看服务
  • dir /a "c:\program files"
    dir /a "c:\program files(86)" #查看当前已安装软件

• 主动搜集

  • 搜索文件
  • 判断主机存活

• 用户习惯收集

  • 桌面信息
    C:\Users\用户名\Desktop

  • 下载目录

    • 系统默认
      C:\Users\Administrator\Downloads
    • 迅雷
      C:\迅雷下载
    • 百度云
      C:\BaiduNetdiskDownload

  • 收藏夹及浏览器相关信息

    • IE
      C:\Users\Administrator\Favorites
    • CHROME
      C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default
    • FIREFOX
      C:\Users\Administrator\AppData\Local\Mozilla\Firefox\Profiles

  • 聊天工具信息

  • 系统日志信息

• 收集hash

  一般是缓存密码

  • 从lsass.exe获取

    • wce
    • pwdum7
    • mimikatz
    • QuarksPwDump

  • 从SAM/system获取

    • Getpass
    • SAMinside