文章目錄
- 一、Windows基本信息收集
- 1、查看當前權限
- 2、查看指定用戶的詳細信息
- 3、查看用戶SID
- 4、查看網卡配置
- 5、查看服務器版本\補丁等
- 6、查看系統架構
- 7、查看安裝的軟件及版本
- 8、查看本機服務信息
- 9、查詢進程信息和列表
- 10、查看啟動程序信息
- 11、查看計劃任務
- 12、查看主機開機時間
- 13、查看屬于本地管理員組的用戶
- 14、查看當前在線用戶
- 15、端口開放情況
- 16、列出或者斷開本地計算機和連接的客戶端會話
- 17、補丁列表
- 18、查看本機共享和可訪問共享列表
- 19、收集本機WIFI信息
- 20、查詢當前保存的憑據
- 21、查詢殺軟等信息
- 22、查詢RDP憑據
- 二、殺毒軟件檢測對比
- 三、Windows防火墻相關
- 1、進站規則
- 2、關閉防火墻
- 3、修改防火墻配置
- 4、端口轉發(殺軟告警)
- 5、自定義防火墻日志存儲位置
- 6、允許3389連接
- 四、Windows遠程服務相關
- 1、查詢遠程服務是否開啟
- 2、查看遠程服務的端口
- 3、修改遠程服務端口
- 4、開啟遠程服務
- 五、網段信息收集
- 1、netstat -nato -p tcp
- 2、C:\Windows\System32\drivers\etc\hosts
- 3、ipconfig
- 4、遠程連接管理工具
- 5、遠程連接記錄
- 6、事件查看器 -> windows日志 -> 安全 -> id:4648
- 六、存活主機探測
- 1、NetBIOS快速探測內網
- 2、利用ICMP協議探測內網
- 3、arp
- 4、tcp\udp
- 七、端口掃描
一、Windows基本信息收集
1、查看當前權限
命令:whoami
2、查看指定用戶的詳細信息
命令:net user username
命令:net user username /domain
3、查看用戶SID
命令:whoami /all
4、查看網卡配置
命令:ipconfig /all
5、查看服務器版本\補丁等
命令:systeminfo
6、查看系統架構
命令:echo %PROCESSOR_ARCHITECTURE%
7、查看安裝的軟件及版本
命令:wmic product get name,version
8、查看本機服務信息
命令:wmic service list brief
9、查詢進程信息和列表
命令:wmic process list brief
命令:tasklist /v
10、查看啟動程序信息
命令:wmic startup get command,caption
11、查看計劃任務
命令:schtasks /query /fo LIST /v
12、查看主機開機時間
命令:net statistics workstation
13、查看屬于本地管理員組的用戶
命令:net localgroup administrators
14、查看當前在線用戶
命令:query user || qwinsta
命令:quser
15、端口開放情況
命令:netstat -nao
16、列出或者斷開本地計算機和連接的客戶端會話
命令:net session
17、補丁列表
命令:wmic qfe get Caption,Description,HotFixID,InstalledOn
systeminfo
18、查看本機共享和可訪問共享列表
命令:net share
命令:wmic share get name,path,status
19、收集本機WIFI信息
命令:for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
20、查詢當前保存的憑據
命令:cmdkey /l
21、查詢殺軟等信息
命令:wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname /format:list
22、查詢RDP憑據
命令:dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
二、殺毒軟件檢測對比
tasklist在線網站:https://mrxn.net/avlist/
先在cmd中使用tasklist 命令列出進程列表,然后把整個列表復制到網站中去檢測。
三、Windows防火墻相關
1、進站規則
命令:netsh advfirewall firewall show rule name=all dir=in
命令:netsh firewall show config
2、關閉防火墻
命令:netsh firewall set opmode disable
// Windows Server 2003 系統及之前版本命令:netsh advfirewall set allprofiles state off
// Windows Server 2003 之后系統版本
3、修改防火墻配置
命令:netsh firewall add allowedprogram c:\nc.exe "allow nc" enable
// Windows Server 2003 系統及之前版本,允許指定程序全部連接Windows Server 2003 之后系統版本,情況如下:3.2、允許指定程序連入
命令:netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"3.2、允許指定程序連出
命令:netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C:\nc.exe"3.3、允許 3389 端口放行
命令:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
4、端口轉發(殺軟告警)
命令:netsh interface portproxy add v4tov4 listenaddress=192.168.193.1 listenport=701 connectaddress=192.168.192.128 connectport=701命令:netsh interface portproxy add v4tov4 listenport=8080 connectaddress=192.168.56.101 connectport=8080
5、自定義防火墻日志存儲位置
命令:netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"
6、允許3389連接
命令:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
\\需要管理員
四、Windows遠程服務相關
1、查詢遠程服務是否開啟
注冊表查詢RDP是否開啟(0x1為關閉、0x0為開啟)
命令:REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
2、查看遠程服務的端口
命令:REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber
3、修改遠程服務端口
命令:REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00003d3 (3389)
\\需要管理員
4、開啟遠程服務
命令:REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
//(/f強制操作) 需要管理員命令:wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1命令:wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1
五、網段信息收集
1、netstat -nato -p tcp
2、C:\Windows\System32\drivers\etc\hosts
3、ipconfig
4、遠程連接管理工具
5、遠程連接記錄
命令:reg query “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers” /s
6、事件查看器 -> windows日志 -> 安全 -> id:4648
六、存活主機探測
1、NetBIOS快速探測內網
NetBIOS是局域網程序使用的一種應用程序編程接口(API),為程序提供請求低級別服務的統一的命令集,為局域網提供了網絡及其他特殊功能。幾乎所有局域網都是在NetBIOS協議的基礎上工作的。NetBIOS也是計算機的標識名,用于局域網中計算機的訪問。
NetBIOS的工作流程就是正常的機器名解析查詢應答過程。nbtscan-存活 -r 192.168.245.1/24
2、利用ICMP協議探測內網
命令:For /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.245.%I | findstr “TTL”
3、arp
命令:arp-scan.exe -t 10.10.10.1/24
4、tcp\udp
命令:nmap -Pn -sT -p22,445,139,135 10.10.10.1/24
七、端口掃描
-
1、nmap
-
2、routescan
-
3、scanport
-
4、auxiliary/scanner/portscan/tcp
-
5、powershell.exe -exec bypass -Command “& {Import-Module
./Invoke-Portscan.ps1; Invoke-Portscan -Hosts 192.168.245.120 -T 4
-ports ‘445,135,139,137,22’ -oA ‘port.txt’}”
)
、源碼安裝nginx、系統服務、進程管理)
怎么調用另一個文件(B.py)中定義的類AA詳解和示例)
:013桉樹、米櫧、栲類)
)
