内网安全之:内网信息收集
内网信息收集
1 查询操作系统版本、补丁等信息
systeminfo
1.1 查看安装在系统中的补丁
2 查询系统体系结构
echo %PROCESSOR_ARCHITECTURE%
3 查看安装的软件及版本、路径等
wmic product get name,version(,installlocation)
3.1 powershell 中查看软件及版本
powershell "get-wmiobject -class win32_product | select-object -property name,version"
4 查询本机服务信息
wmic service list brief
5 查询进程列表
tasklist
5.1 查看进程信息
wmic process list brief
6 查看启动程序信息
wmic startup get command,caption
7 查看计划任务
schtasks /query /fo list /v
8 查看主机开机时间
net statistics workstation
9 查看本地管理员信息(通常包含域用户信息)
net localgroup administrators
- 默认Domain Admins 组中为域内机器的本地管理员用户。
10 在域中查看当前在线用户
query user || qwinsta
11 列出或断开本地计算机与所连接的客户端之间的会话
net session
12 查询本机共享列表
C:\WINDOWS\system32>net Share
C:\WINDOWS\system32>wmic share get
13 查询防火墙相关配置
13.1 关闭/开启防火墙:
-
Win2003 及之前的版本:
C:\WINDOWS\system32>netsh firewall set opmode disable C:\WINDOWS\system32>netsh firewall set opmode enable
-
Win2003 之后的版本:
C:\WINDOWS\system32>netsh advfirewall set allprofiles state off C:\WINDOWS\system32>netsh advfirewall set allprofiles state on
13.2 查看防火墙配置
-
Win2003 及之前的版本:
netsh firewall show config
-
Win2003 之后的版本:
netsh advfirewall show allprofiles
13.3 修改防火墙配置
-
Win2003及之前版本,放行指定程序
netsh firewall add allowedprogram c:\nc.exe "allow nc” enable
-
Win2003 之后的版本,放行指定程序
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"
-
允许指定程序访问:
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"
-
允许指定程序出去:
netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow progrom="C:\nc.exe"
-
放行 3389 端口:
netsh advfirewall firewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
-
13.4 自定义防火墙日志的储存位置
netsh advfirewall set currentprofile logging filename "C:\Windowws\temp\fw.log"
14 查看代理配置情况
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
15 查询并开启远程连接服务
-
查看远程连接端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber
-
在win2003 中开启 3389 端口
Wmic path win32_terminalservicesetting where (__CLASS !="") call Setallowtscommections 1
-
Win2008 与 Win2012 的版本
wmic /namespace:\\root\cimv2\terminalservices path Win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1 wmic //namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (terminalname="rdp-tcp") call setuserauthenticationrequired 1