内网渗透之信息收集-windows

用户相关

• query user #查看当前在线的用户
• whoami #查看当前用户
• net user #查看当前系统全部用户
• net1 user #查看当前系统全部用户（高权限命令）
• net user /domain #查看当前域全部用户
• net user administrator #查看admin用户详细信息
• net localgroup #查看本地用户组
• net localgroup administrators #查看组中成员描述

网络相关

• ipconfig /all #查看全部ip信息
• netstat -ano #查看网络连接端口
• net view #查看在同一工作组的机器
• net view /domain #查看是否有域
• route print #查看路由表
• arp -a #查看arp表

系统相关

• set #查看系统环境变量
• systeminfo #查看系统信息
• tasklist #查看进程名称以及pid号
• net start #查看服务

软件安装信息

         dir /a "c:\program files"  #查看当前系统的安装的软件

         dir /a "c:\program files(x86)"

主动搜集

• 搜索文件
• 判断主机存活

收集hash

一般是缓存密码

      从lassa.exe获取

• wce
• pwdum7
• mimikatz
• QuarksPwDump

      从SAM/system获取

• Getpass
• SAMinside

主动搜集

• 搜索文件
• 判断主机存活

用户习惯收集

• 用户桌面信息
  C:\Users\用户名\Desktop
• 下载目录
• 系统默认
  C:\Users\Administrator\Downloads
• 迅雷
  C:\迅雷下载
• 百度云
  C:\BaiduNetdiskDownload
• 收藏夹及浏览器相关信息
  • IE
    C:\Users\Administrator\Favorites
  • CHROME
    C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default
  • FIREFOX
    C:\Users\Administrator\AppData\Local\Mozilla\Firefox\Profiles
• 聊天工具信息
• 系统日志信息

                   登录日志

                   服务日志