2021-11-17

windows 系统下的信息收集其实主要可以分为三个方向：系统信息、拓扑信息、凭证信息

系统信息包括当前系统、进程信息，用户权限，用户操作等。主要针对当前系统进行信息收集整理。

拓扑信息包括网络拓扑发现，内网其他存活主机发现，域信息收集等。主要针对内网拓扑环境进行信息收集。

凭证信息包括用户凭证信息、系统用户 hash、DPAPI、常用软件密码记录等。可以用来横向渗透。

一、主机信息

1、系统程序

命令：net config workstation/server
作用： 查询简易系统信息

image.png

命令：systeminfo #
作用：查询全部内容

image.png

命令：wmic qfe get Caption,Description,HotFixID,InstalledOn
作用： 查询已安装的补丁列表

image.png

2、进程服务

命令：tasklist /v
作用： 查询正在运行的进程

image.png

命令：wmic product get name,version
作用：查询所有安装过的软件及版本

image.png

命令：powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"
作用： 使用 powershell 查询所有安装过的软件及版本，效果和 wmic 相同

image.png

命令：wmic service list brief
作用： 查询当前机器的服务信息

image.png

命令：wmic startup get command,caption
作用：查看启动项

image.png

3、用户信息

命令：whoami
作用： 当前用户

image.png

命令：quser
作用：查询登录用户，同 query user

image.png

命令：qwinsta
作用：查询登录用户，同 query user

image.png

命令：query user
作用： 查询登录用户

image.png

命令：query session
作用： 查询会话

image.png

命令：query termserver
作用： 查询远程桌面主机列表。

命令：net accounts
作用：查询域密码策略

image.png

命令：net user
作用：查询本地用户列表

命令：net user "$username"
作用： 查询指定用户

命令：net localgroup
作用：查询本地用户组列表

image.png

命令：net localgroup "$groupname"
作用：查询指定用户组成员

image.png

命令：net group
作用：仅域控可执行，查询用户组列表

image.png

命令：net group "$groupname"
作用：仅域控可执行，查询用户组成员

注：quser、qwinsta和query命令只存在于允许安装 RDP 服务的主机上，官方描述其仅存在于 server 2012 及以上版本存在。其中query termserver命令存在问题，本地测试时与描述严重不符，无法列出信息。

4、操作记录

命令：Get-History | Format-List -Property *
作用：查询 powershell 当前窗口历史操作记录

image.png

命令：Clear-History
作用：删除 powershell 当前窗口历史操作记录

image.png

命令：Clear-History -Id 3
作用：删除 powershell 当前窗口指定 ID 的历史操作记录

image.png

命令：doskey /h
作用：查看 cmd 的历史操作记录

image.png

命令：doskey /reinstall
作用：删除 cmd 的历史操作记录

image.png

二、网络发现

内网网络发现是一个很重要的信息收集内容，一般情况下是不建议使用扫描器扫描，尤其不建议使用 nmap，当然，如果是靶场，或是甲方授权就另当别论。

1、基本信息收集

命令：ipconfig /all
作用： 列出当前主机详细网络信息

image.png

命令：ipconfig /displaydns
作用：列出dns缓存信息

image.png

命令：route print
作用：查询路由表

image.png

命令：arp -a
作用： 地址解析协议缓存表

image.png

命令：netstat -ano
作用：端口使用情况

image.png

命令：net share
作用：查看共享信息

image.png

命令：net view
作用：查看共享资源列表

image.png

命令：wmic share get name,path,status
作用：查看共享信息

image.png

命令：type c:\Windows\system32\drivers\etc\hosts
作用：查看 host 文件

image.png

2、系统日志

命令：wevtutil qe security /f:text /q:*[System[(EventID=4624)]]
作用： 查询登录日志语法

image.png

命令：wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4627]"
作用：查询所有登录、注销相关的日志语法

image.png

命令：wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]" /r:dc1 /u:administrator /p:password
作用： 远程查询时在后面加入/r:computer /u:user /p:password 比如查询dc1上的登录注销日志

image.png

三、域信息收集

1、基本信息收集

命令：net config workstation
作用 查询当前登录域

image.png

命令：net time
作用：同步时间，通常为域控服务器

image.png

命令：net accounts /domain
作用： 查询域密码策略

image.png

命令：net user /domain
作用：列出当前域成员列表

命令：net view /domain
作用：查询域列表

命令：net view /domain:test
作用：查询 test 域中计算机列表

命令：nltest /dclist:domain
作用：查询域内的所有DC

命令：nltest /dsgetdc:domain
作用：拿到DC当前的认证信息

命令：nltest /domain_trusts
作用：查询域信任信息

命令：nltest /user:"username"
作用：得到用户信息

四、配置文件收集

配置文件

IIS 配置文件路径为：

%windir%\system32\inetsrv\config\applicationHost.config

使用 appcmd 的方式可以快速导出所需内容：

%windir%\system32\inetsrv\appcmd list site /config %windir%\system32\inetsrv\appcmd list site /config /xml > c:\sites.xml

密码保存

navicat

SecureCRT

Xshell

WinSCP

HKCU\Software\Martin Prikryl\WinSCP 2\Sessions

VNC: