Banner

当已经获得机器的控制权,如何搜集信息?

一、Windows

1. 检查当前 shell 的权限

whoami /user ; whoami /priv

2. 查看系统信息

systeminfo

3. 查看网络连接情况

netstat -ano

4. 查看机器名

hostname

5. 查看安装的杀毒软件

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct GetdisplayName /Format:List

6. 查看系统安装的软件

WMIC product get name

7. 查看在线用户

quser

8. 查看网络配置

ipconfig /all

9. 查看进程

tasklist /v

10. 查看当前用户登陆域

net config workstation

11.查看远程桌面连接历史记录

cmdkey /l

保存下来可以进行本地解密。

12. 查看本机用户列表

net user

10. 查看本机用户信息

net user <username>
net user /domain # 显示所在域的用户名单
net user <username> /domain # 获取某个用户的详细信息
net user /domain <username> <password> # 修改域用户密码,需要域管理员权限

11. 查看当前用户登陆域

net config workstation
nltest /domain_trusts /all_trusts /v /server:192.168.1.1 # 返回信用192.168.1.1的列表
nltest /dsgetdc:hack /server:192.168.1.1 # 返回域控和其他相关
net group "domain admins" /domain #获取域管理员列表
net group "domain controllers" /domain #获取域控制器列表
net group "domain computers" /domain #获取域机器
net group /domain #查询域里面的工作小组
net view # 查看同一域下的主机
net view //<ip>
net view //<GHQ> # 查看同一域下的主机
net view /<Domain> # 查看同一域下的主机
net view /<Domian:xyz> # 查看同一域下的主机

WMIC 是 Windows 下非常 Cool 的工具!有需要可以了解详细喔。

二、Linux

1.查看当前权限

whoami

2.查看网络配置

ifconfig

3.查看端口状态

netstat -pantu

4.查看进程状态

ps -aux

5.查看管理员历史输入

cat /root/.bash_history

6.查找文件

find / -name *.cfg