【内网安全】——windows信息收集

news2024/12/23 0:23:31

作者名:Demo不是emo 

主页面链接:主页传送门
创作初心:
舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷
座右铭:不要让时代的悲哀成为你的悲哀
专研方向:网络安全,数据结构

每日emo:爱是深渊

目录

一:windows信息收集简介 

 二:信息收集大纲

1、本机信息 

[1]、系统程序

[2]、进程服务

[3]、用户信息

[4]、操作记录

2、网络发现 

[1]、基本信息收集

[2]、系统日志

[3]、浏览器日志

[4]、DNS 服务器记录

3、域信息查询 

[1]、基本信息收集

[2]、dsquery

[3]、powershell 

4、配置文件收集 

[1]、Navicat 密码默认保存位置 

[2]、SecureCRT 软件默认密码保存地址

[3]、Xshell密码默认保存位置

[4]、VNC默认保存地址


一:windows信息收集简介 

windows 系统下的信息收集其实主要可以分为三个方向:系统信息、拓扑信息、凭证信息

系统信息包括当前系统、进程信息,用户权限,用户操作等。主要针对当前系统进行信息收集整理。

拓扑信息包括网络拓扑发现,内网其他存活主机发现,域信息收集等。主要针对内网拓扑环境进行信息收集。

凭证信息包括用户凭证信息、系统用户 hash、DPAPI、常用软件密码记录等。可以用来横向渗透。 

 二:信息收集大纲

1、本机信息 

[1]、系统程序

收集系统信息,包括操作系统版本,已安装补丁列表等。通常使用以下方法收集:

net config workstation                                   # 查询简易系统信息

systeminfo                                               # 查询全部内容

wmic qfe get Caption,Description,HotFixID,InstalledOn    # 查询已安装的补丁列表

注意:

其中systeminfo命令查询内容最全,但如果系统更新的补丁较多,可能会导致反应反应时间过长;使用 webshell 执行此命令可能会因为超时导致无法正常回显,或回显内容长度过长,无法全部显示。

[2]、进程服务

tasklist /v                              		 
# 查询正在运行的进程

wmic product get name,version           		 
# 查询所有安装过的软件及版本

powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"
# 使用 powershell 查询所有安装过的软件及版本,效果和 wmic 相同

wmic service list brief                  		 
# 查询当前机器的服务信息

wmic startup get command,caption        		 
# 查看启动项

schtasks  /query  /fo  LIST /v           		 
# 查看任务计划

 windows 自带防火墙及特殊过滤规则等网络访问均可使用netsh及相关命令查看。

netsh firewall show config                      			
# 查看防火墙信息,但 firewall 命令已弃用,可使用 advfirewall 命令代替

netsh advfirewall firewall show rule name=all   		
# 查看配置规则

netsh advfirewall set allprofiles state off\on  			
# 关闭防火墙\开启防火墙

netsh advfirewall export\import xx.pol          			
# 导出\导入配置文件

netsh advfirewall firewall add rule name=”deny tcp 139″ dir=in protocol=tcp localport=139 action=block         					
# 新建规则阻止TCP协议139端口

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow             					
 # 新建规则允许3389通过防火墙

netsh advfirewall firewall delete rule name=Remote Desktop  	
# 删除名为Remote Desktop的规则

netsh interface               
# 连接安全规则配置,很少配置。

[3]、用户信息

whoami                                   		# 当前用户
quser                                    		# 查询登录用户,同 query user
qwinsta                                  		# 查询登录用户,同 query user
query user                              		# 查询登录用户
query session                           		# 查询会话
query termserver                         		# 查询远程桌面主机列表。
net accounts                             		# 查询域密码策略
net user                                		# 查询本地用户列表
net user "$username"                     		# 查询指定用户
net localgroup                           		# 查询本地用户组列表
net localgroup "$groupname"              	    # 查询指定用户组成员
net group                                		# 仅域控可执行,查询用户组列表
net group "$groupname"                   	    # 仅域控可执行,查询用户组成员

quserqwinstaquery命令只存在于允许安装 RDP 服务的主机上,官方描述其仅存在于 server 2012 及以上版本存在。其中query termserver命令存在问题,本地测试时与描述严重不符,无法列出信息。 

[4]、操作记录

 cmdpowershell v3 以下的操作记录无法长时间保存,仅限当前窗口。

Get-History | Format-List -Property *         	# 查询 powershell 当前窗口历史操作记录
Clear-History                                	# 删除 powershell 当前窗口历史操作记录
Clear-History -Id 3                           	# 删除 powershell 当前窗口指定 ID 的历史操作记录
doskey /h                                     	# 查看 cmd 的历史操作记录
doskey /reinstall                             	# 删除 cmd 的历史操作记录

可以通过向进程发送键盘内容的方式将运行中的窗口历史操作记录导出。

powershell v5 以上的操作历史记录会直接保存在指定文件中。直接查看即可。

# 查看 powershell 历史操作记录

type %appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

powershell v3、v4 版本需要安装Get-PSReadlineOption。

2、网络发现 

    内网网络发现是一个很重要的信息收集内容,一般情况下是不建议使用扫描器扫描,尤其不建议使用 nmap,当然,如果是靶场,或是甲方授权就另当别论。

[1]、基本信息收集

ipconfig /all                     		      # 列出当前主机详细网络信息
ipconfig  /displaydns            		      # 列出dns缓存信息
route print                       		      # 查询路由表
arp -a                            		      # 地址解析协议缓存表
netstat -ano                      		      # 端口使用情况
net share                         		      # 查看共享信息
net view                         		      # 查看共享资源列表
wmic share get name,path,status   		      # 查看共享信息
type  c:\Windows\system32\drivers\etc\hosts   # 查看 host 文件

[2]、系统日志

可以使用 wevtutil.exe psloglist.exe 或者 powershell 的Get-WinEvent模块进行日志导出,server 03 的域控可使用 eventquery.vbs 导出。
wevtutil 不需要 UAC, 支持很多过滤语法,若有需要请查看官方说明。

# 查询登录日志语法
wevtutil qe security /f:text /q:*[System[(EventID=4624)]]

# 查询所有登录、注销相关的日志语法
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4627]"

# 远程查询时在后面加入/r:computer /u:user /p:password 比如查询dc1上的登录注销日志
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]" /r:dc1 /u:administrator /p:password

#本地使用 LogParser 日志分析工具整理导出的日志,然后去除重复数据、无效数据(以 '$' 结束的用户名) 
LogParser.exe -i:EVT -o txt "SELECT TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) as USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) as SOURCE_IP FROM C:\ProgramData\log.evtx" > C:\ProgramData\log.txt

#导出域控登录日志到域控上:
wevtutil epl Security C:\ProgramData\dc.evtx /q:"*[EventData[Data[@Name='LogonType']='3'] and System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 2592000000]]]" /r:域控IP /u:域管 /p:域管密码

[3]、浏览器日志

收集浏览器访问记录。
chrome
C:\Users$username\AppData\Local\Google\Chrome\User Data\Default\History

firefox
C:\UsersUndefined control sequence \AppDataname.default\places.sqlite

IE
reg query "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs" 或C:\Users$user\AppData\Local\Microsoft\Windows\History

edge, v79+:
C:\Users$user\AppData\Local\Microsoft\Edge\User Data\Default\History

v44+
C:\Users$user\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

 浏览器的历史记录文件 history,是使用 sqlite 格式记录的,直接打开是一个二进制文件,可以下载到本地破解,或者直接替换查看。 需要注意的是,

edge v44+ 版本的历史记录文件在用户登录状态下是锁定的。

[4]、DNS 服务器记录

如果目标机器在域内,只需要按部就班收集域信息,准备域横向渗透即可。 但其中有一点单独提一下,一般在域环境中都会有一台 DNS 服务器,小企业或内网环境较小的可能会和域控为同一台,大一些的企业,多为独立的 DNS 服务器。 由于 DNS 服务器的特性,因此,在 DNS 服务器上会存在大量内网地址解析记录,如果可以获取,会极大的方便内网拓扑展开,同时很多其他主机无法到达的地址,DNS 服务器是可以到达的。

#列出 DNS 区域中当前节点的资源记录
dnscmd . /EnumZones

#列出 test.com 的信息
dnscmd . /ZoneInfo test.com

#列出 test.com 中的详细记录
dnscmd . /ZonePrint test.com

DNS 记录有正向解析和反向解析两种。 正向解析是从域名到IP,反向解析则是从 IP 到域名。 反向隔离和正向隔离相同,都会有一个对应的区域,因此,查询方式与正向记录相同。

DNS 服务器还存在域传送漏洞。可以直接获得 DNS 记录。 nslookup -type=all_ldap._tcp.dc.greyfinger.com nslookup -type=ns domain.com cmd> nslookup server dns.domain.com ls domain.com 

3、域信息查询 

[1]、基本信息收集

域信息收集,需要当前用户为域用户本地用户无法执行域命令查询域内容。

net config workstation                    # 查询当前登录域
net time                                  # 同步时间,通常为域控服务器
net accounts /domain                      # 查询域密码策略
net user /domain                          # 列出当前域成员列表
net user username /domain                 # 列出域成员详细信息
net group /domain                         # 列出域内组列表
net group groupname /domain               # 列出域内组成员列表
net view                                  # 查询同一域内机器列表
net view /domain                          # 查询域列表
net view /domain:test                     # 查询 test 域中计算机列表
nltest /dclist:domain                     # 查询域内的所有DC
nltest /dsgetdc:domain                    # 拿到DC当前的认证信息
nltest /domain_trusts                     # 查询域信任信息
nltest /user:"username"                   # 得到用户信息

想要定位域管域控机器,可以查询domain admindomain controllers组,

需要注意的是,组名会随系统语言变化而变化,如domain controllers会变化成domaine contrôleurs。

在域内其他机器上,查询组是net group /domain,而在域控上则是net group。 

[2]、dsquery

 dsquery 命令很少使用,而且限制较大仅能在域控上执行,所以相对而言较为鸡肋,但是在一定条件下还是具有一定的使用价值。

dsquery computer                          		# 查询目录中的计算机
dsquery contact                           		# 查询目录中的联系人
dsquery subnet                            		# 查询目录中的子网
dsquery group                             		# 查询目录中的组
dsquery site                              		# 查询目录中的站点
dsquery user                              		# 查询目录中的用户

[3]、powershell 

# 查询当前Domain信息[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()

# 查询域信任关系([System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).GetAllTrustRelationships()

# 查询当前林信息[System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest()

# 查询林信任信息([System.DirectoryServices.ActiveDirectory.Forest]::GetForest((New-Object System.DirectoryServices.ActiveDirectory.DirectoryContext('Forest', 'forest-of-interest.local')))).GetAllTrustRelationships()

4、配置文件收集 

IIS 配置文件路径为:
%windir%\system32\inetsrv\config\applicationHost.config

使用 appcmd 的方式可以快速导出所需内容:
%windir%\system32\inetsrv\appcmd list site /config %windir%\system32\inetsrv\appcmd list site /config /xml > c:\sites.xml

[1]、Navicat 密码默认保存位置 

[2]、SecureCRT 软件默认密码保存地址

 

[3]、Xshell密码默认保存位置

[4]、VNC默认保存地址

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/51445.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Nginx安装

目录 1. 安装必要环境 1.1 需要安装gcc环境 1.2 PERE 1.3 zlib 1.4 openssl 2. 安装nginx 2.1 下载和解压 2.2 编译 2.2.1 设定配置 2.2.2 编译 2.2.3 安装 3. 启动nginx 4. 配置环境变量 5. 加入system管理 1. 下载Nginx 1. 安装必要环境 1.1 需要安装gcc环境 y…

基于PHP+MySQL学院信息发布系统的设计与实现

再添加完最新动态后可以点击最新动态管理,对已经添加过的最新动态进行编辑和删除,绑定的主要信息包括用文章标题,发布人,发布时间,文章类型,内容等信息 信息技术学院信息发布系统,是一个为学校提供信息的平台,是完全的,高速的,开放的,其核心思想是提供一个以自然语言为主的用户…

算法竞赛入门【码蹄集进阶塔335题】(MT2276-2280)

算法竞赛入门【码蹄集进阶塔335题】(MT2276-2280&#xff09; 文章目录算法竞赛入门【码蹄集进阶塔335题】(MT2276-2280&#xff09;前言为什么突然想学算法了&#xff1f;为什么选择码蹄集作为刷题软件&#xff1f;目录1. MT2276 数的自我2. MT2277 分数个数3. MT2278 欧拉函数…

[附源码]Python计算机毕业设计Django房屋租赁系统

项目运行 环境配置&#xff1a; Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术&#xff1a; django python Vue 等等组成&#xff0c;B/S模式 pychram管理等等。 环境需要 1.运行环境&#xff1a;最好是python3.7.7&#xff0c;…

Web3 来了,让我们展开双手拥抱它吧!

Web3的由来 在介绍Web3概念&#xff0c;有必要阐述下当下的网络世界。而如今的互联网正处于Web2阶段&#xff0c;其已经帮助数以亿计的人融入这个互联网大家庭&#xff0c;可在网络上构建可靠、稳定的基础设施。然而也正是Web2中心化网络成就了极少数互联网巨头&#xff0c;他…

基于STM32的智能家居控制系统设计与实现(带红外遥控控制空调)

1. 前言 智能家居作为家庭信息化的实现方式,已经成为社会信息化发展的重要组成部分,物联网因其巨大的应用前景,将是智能家居产业发展过程中一个比较现实的突破口,对智能家居的产业发展具有重大意义。 本文基于现有智能家居技术设计和实现情况,本着方便操作、增强功能、贴…

Xilinx的TestPattern模块编译错误解决方法

在使用vivado 2018.3编译tpg模块的时候报错&#xff0c;软件提示找不到编译模块&#xff0c;如下&#xff1a; 经过多方咨询后&#xff0c;据说是vivado的版本问题引起的&#xff0c;使用这个版本在2022年之前不会出现问题&#xff0c;因此如果把windows的系统时间修改到2021年…

(论文阅读笔记)Network planning with deep reinforcement learning

[1] ZHU, Hang, et al. Network planning with deep reinforcement learning. In: Proceedings of the 2021 ACM SIGCOMM 2021 Conference. 2021. p. 258-271. Citation: 25文章目录Q1 论文试图解决什么问题&#xff1f;Q2 这是否是一个新的问题&#xff1f;Q4 有哪些相关研究&…

基于GeoPandas的POI人口数赋值方法,按面提取点数据并赋值

基于GeoPandas的POI人口数赋值方法 这个方法是某篇文章中提到的&#xff0c;基于未知兴趣点和街道中心人口点进行的未知兴趣点人口赋值。 我们先来说一下数据&#xff0c;street是街道面数据&#xff0c;里面有一个population字段&#xff0c;用来记录街道总人口值。有一个字…

炫技:拼接列表、破碎二维数组——Python sum()函数隐藏技能花式玩法

【学习的细节是欢悦的历程】Python 官网&#xff1a;https://www.python.org/ Free&#xff1a;大咖免费“圣经”教程《 python 完全自学教程》&#xff0c;不仅仅是基础那么简单…… 自学并不是什么神秘的东西&#xff0c;一个人一辈子自学的时间总是比在学校学习的时间长&a…

【k8s金牌知识】k8s升级攻略

学习内容&#xff1a; 提示&#xff1a;不同版本升级略有差异&#xff0c;详见官网&#xff0c;本例是以Ubuntu为例 官方网址&#xff1a;https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade/ 1、 k8s升级注意事项 &#xff08;1&#xf…

阿里云产品有哪些?阿里云产品种类整理汇总

阿里云是全球领先的云计算及人工智能科技公司&#xff0c;提供云服务器、云数据库、云安全、云存储、企业应用及行业解决方案服务。那么阿里云产品有哪些?本文为大家介绍下阿里云产品方案及阿里云有哪些热门云产品?阿里云主要产品及功能介绍&#xff0c;阿里云产品分为6大分类…

Flink同步Kafka数据到ClickHouse分布式表

公众号文章都在个人博客网站&#xff1a;https://www.ikeguang.com/ 同步&#xff0c;欢迎访问。业务需要一种OLAP引擎&#xff0c;可以做到实时写入存储和查询计算功能&#xff0c;提供高效、稳健的实时数据服务&#xff0c;最终决定ClickHouse什么是ClickHouse&#xff1f;Cl…

[附源码]JAVA毕业设计高校疫情管理(系统+LW)

[附源码]JAVA毕业设计高校疫情管理&#xff08;系统LW&#xff09; 目运行 环境项配置&#xff1a; Jdk1.8 Tomcat8.5 Mysql HBuilderX&#xff08;Webstorm也行&#xff09; Eclispe&#xff08;IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#xff09;。 项目技术&…

[附源码]计算机毕业设计springboot社区疫情防控信息管理系统

项目运行 环境配置&#xff1a; Jdk1.8 Tomcat7.0 Mysql HBuilderX&#xff08;Webstorm也行&#xff09; Eclispe&#xff08;IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#xff09;。 项目技术&#xff1a; SSM mybatis Maven Vue 等等组成&#xff0c;B/S模式 M…

Android OpenGL ES 学习(五) -- 渐变色

OpenGL 学习教程 Android OpenGL ES 学习(一) – 基本概念 Android OpenGL ES 学习(二) – 图形渲染管线和GLSL Android OpenGL ES 学习(三) – 绘制平面图形 Android OpenGL ES 学习(四) – 正交投屏 Android OpenGL ES 学习(五) – 渐变色 代码工程地址&#xff1a; https://…

【实习之velocity 三 Vtl-引入资源】

文章目录一、#include1.作用:引入外部资源&#xff0c;引入的资源不会被引擎所解析2.语法:#include(resource)二、#parse作用:引入的外部资源,引入的资源将被引擎所解析语法:#parse(resource)三、define作用:定义重用模块(不带参数)语法:四、evaluate作用:动态计算,动态计算可以…

学习笔记:内存四区

内存分区模型 1内存分区模型 C程序在执行I将内存大方向划分为4个区域 ●代码区:存放函数体的二进制代码&#xff0c;由操作系统进行管理的 ●全局区:存放全局变量和静态变量以及常量 ●栈区:由编译器自动分配释放存放函数的参数值局部变量等 ●堆区:由程序员分配和释放若程序员…

【WSN布局】基于LICHTENBERG算的多目标传感器选择和放置优化问题研究附matlab代码

✅作者简介&#xff1a;热爱科研的Matlab仿真开发者&#xff0c;修心和技术同步精进&#xff0c;matlab项目合作可私信。 &#x1f34e;个人主页&#xff1a;Matlab科研工作室 &#x1f34a;个人信条&#xff1a;格物致知。 更多Matlab仿真内容点击&#x1f447; 智能优化算法 …

如何改变胆小怕事的性格?

胆小怕事 就是指一个人做事总是十分胆怯&#xff0c;畏畏缩缩&#xff0c;举手投足也不够大气&#xff0c;经常要看别人的脸色&#xff0c;害怕麻烦上身&#xff0c;对强势的人也会显得唯唯诺诺&#xff0c;战战兢兢。胆小怕事 是某种心理问题的表现&#xff0c;或者说性格缺陷…