内网信息收集命令
查询本机器的进程信息
wmic process list brief
或者
tasklis
常见的杀毒软件进程
360tray.exe 360安全卫士
360sd.exe 360杀毒
MsMpEng.exe Windows Defender(Microsoft Security Essentials)
hipstray.exe 火绒
wsctrl.exe 火绒
usysdiag.exe 火绒
ksafe.exe 金山卫士
QQPCRTP.exe QQ电脑管家
kxetray.exe 金山毒霸
KvMonXP.exe 江民杀毒
RavMonD.exe 瑞星杀毒
Mcshield.exe 麦咖啡
avp.exe 卡巴斯基
TMBMSRV.exe 趋势杀毒
avcenter.exe Avira(小红伞)
safedog.exe 安全狗
SafeDogGuardCenter.exe 安全狗
safedogupdatecenter.exe 安全狗
safedogguardcenter.exe 安全狗
SafeDogSiteIIS.exe 安全狗
SafeDogTray.exe 安全狗
SafeDogServerUI.exe 安全狗
D_Safe_Manage.exe D盾
d_manage.exe D盾
yunsuo_agent_servic.exe 云锁
yunsuo_agent_daemon.exe 云锁
HwsPanel.exe 护卫神·入侵防护
hws_ui.exe 护卫神
hws.exe 护卫神·入侵防护系统 服务处理程序
hwsd.exe 护卫神·入侵防护系统 监控组件 查看当前在线用户 query user Systeminfo #列出计算机信息以及补丁信息(提权用得上) route print 或者 arp -a #查询路由表以及所有可用接口ARP的缓存表
定位DC及获取⽤户、组信息
net config workstation #查询当前登录域及登录⽤户信息
net user /domain #查询域内⽤户
wmic useraccount get /all #查询域内⽤户的详细信息
net accounts /domain #查看域密码策略
net user lab /domain #查看指定域⽤户lab的详细信息
net view /domain #查看有⼏个域
net view /domain:xxx #查看域内的主机
net group /domain #查看域⾥⾯的组
net group "domain users" /domain #查看域⽤户
net group "domain controllers" /domain #查看域控制器
net group "domain computers" /domain #查看域内所有的主机
net group "domain admins" /domain #查看域管理员,该组内的成员对域控
拥有完全控制权
net group "enterprise admins" /domain #查看企业管理组,该组内的成员对域
控拥有完全控制权
net group "domain guest" /domain #查看域访客组,权限较低
net accounts /domain #查询域密码策略
whoami /user #查看⽤户SID和域SID #域控权限
dsquery user #查询⽬录中的⽤户
dsquery computer #查询⽬录中的主机
dsquery group #查询⽬录中的组
dsquery ou #查询⽬录中的组织单元
dsquery site #查询⽬录中的站点
dsquery server #查询域控
dsquery contact #查询⽬录中的联系⼈
dsquery subnet #查询⽬录中的⼦⽹
dsquery quota #查询⽬录中的配额规定
dsquery partition #查询⽬录中的分区
dsquery server –domain zkaq.cn | dsget server–dnsname –site #搜索域内域控制器的DNS主机名和站点名
dsquery computer domainroot –name -xp –limit n #搜索域内以-xp结尾的机器n台
dsquery user domainroot –name admin -limit n #搜索域内以admin开头的⽤户n个
nltest /DCLIST:zkaq.cn
net time /domain
nslookup -type=srv _ldap._tcp #查看DNS服务器的地址,⼀般DNS
服务器的IP就是域控的地址
netdom query pdc #查看主域控制器
dsquery server #该命令只能在域控上执⾏
查询域控
net view /domain
端口连接
比如我们拿下一台web站点,站库分离,那我们就可以利用如netstat -ano命令查看谁跟这台web通信,比如1433、3306这些端口。
获取安装的软件列表:
wmic product get name,version
定位域控服务器
net time /domain
nslookup
1、通过nslookup访问外部地址 回显IP
注意:如果机器不出网 是无法使用次命令的
nslookup myip.opendns.com resolver1.opendns.com
2、查看dns缓存 如果某站点频繁被访问 相关记录可能会出现在缓存里
ipconfig /displaydns
3、如果是IIS7 IIS7.5: 执行如下命令:
%windir%\system32\inetsrv\appcmd list site
显示网站列表
%windir%\system32\inetsrv\appcmd list site /config /xml
查看域控主机名
nslookup -type=SRV _ldap._tcp
快速定位域控ip,一般是dns、时间服务器:
net time /domain-
nslookup -type=all _ldap._tcp.dc._msdcs.jumbolab.com
查看hosts文件:
linux:cat /etc/hosts
windows:type c:\Windows\system32\drivers\etc\hosts
凭据收集
意思就是登录的凭据
拿下一台机器后,我们需要做的就是尽可能的收集信息。
比如远程连接凭据:
cmdkey /list
利用ICMP协议快速探测内网
这种方式是依次对内网中的每一个ip地址执行ping命令,可以快速的找到内网存活的所有主机,在渗透测试中可以利用这一点循环探测整个c段,如下。
for /L %I in (1,1,254) Do @ping -w 1 -n 1 10.0.1.%I | findstr "TTL="
工具推荐:
WIFI
通过如下命令获取连接过的wifi密码:
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
Seatbelt
可以利用Seatbelt工具做一些自动化的信息收集,收集的信息很多,包括不限于google历史记录、用户等等:
项目地址:
https://github.com/GhostPack/Seatbelt
360safebrowserdecrypt
项目地址:https://github.com/c0de3/360SafeBrowsergetpass
AdFind 一款C++编写的域内查询信息的工具
下载地址:https://www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml
常用命令
列出域控制器名称:
AdFind -sc dclist
查看域控版本
AdFind -schema -s base objectversion
查询当前域中在线的计算机:
AdFind -sc computers_active
查询当前域中所有计算机:
AdFind -f "objectcategory=computer"
查询当前域中所有计算机(只显示名称和操作系统):
AdFind -f "objectcategory=computer" name operatingSystem
查询域内所有用户:
AdFind -users name
查询所有GPO:
AdFind -sc gpodmp
枚举受保护AD账户:
Adfind -f "&(objectcategory=person)(samaccountname=*)(admincount=1)" -dn
查看域内用户详细信息:
adfind.exe -h DNS_SERVER_IP -sc u:username #目标用户
查看域用户能登录的机器(userWorkstations)
adfind.exe -h DNS_SERVER_IP -sc u:username userWorkstations
查看域内所有用户详细信息:
AdFind.exe -h DNS_SERVER_IP -sc u:* > result.txt