当已经获得机器的控制权,如何搜集信息?
一、Windows
1. 检查当前 shell 的权限
whoami /user ; whoami /priv
2. 查看系统信息
systeminfo
3. 查看网络连接情况
netstat -ano
4. 查看机器名
hostname
5. 查看安装的杀毒软件
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct GetdisplayName /Format:List
6. 查看系统安装的软件
WMIC product get name
7. 查看在线用户
quser
8. 查看网络配置
ipconfig /all
9. 查看进程
tasklist /v
10. 查看当前用户登陆域
net config workstation
11.查看远程桌面连接历史记录
cmdkey /l
保存下来可以进行本地解密。
12. 查看本机用户列表
net user
10. 查看本机用户信息
net user <username>
net user /domain # 显示所在域的用户名单
net user <username> /domain # 获取某个用户的详细信息
net user /domain <username> <password> # 修改域用户密码,需要域管理员权限
11. 查看当前用户登陆域
net config workstation
nltest /domain_trusts /all_trusts /v /server:192.168.1.1 # 返回信用192.168.1.1的列表
nltest /dsgetdc:hack /server:192.168.1.1 # 返回域控和其他相关
net group "domain admins" /domain #获取域管理员列表
net group "domain controllers" /domain #获取域控制器列表
net group "domain computers" /domain #获取域机器
net group /domain #查询域里面的工作小组
net view # 查看同一域下的主机
net view //<ip>
net view //<GHQ> # 查看同一域下的主机
net view /<Domain> # 查看同一域下的主机
net view /<Domian:xyz> # 查看同一域下的主机
WMIC 是 Windows 下非常 Cool 的工具!有需要可以了解详细喔。
二、Linux
1.查看当前权限
whoami
2.查看网络配置
ifconfig
3.查看端口状态
netstat -pantu
4.查看进程状态
ps -aux
5.查看管理员历史输入
cat /root/.bash_history
6.查找文件
find / -name *.cfg
Comments