本机信息收集
a、知道当前IP—你处在哪个网段(是否存在其他网段)—其他存活的机器
b、当前拿到的权限:普通用户—管理员用户—系统用户
c、安装了哪些软件,打了哪些补丁
需要收集的本机信息有:操作系统、系统版本、系统服务、系统端口、系统进程、系统补丁、内网IP地址段、系统权限、系统共享、网络连接、杀毒软件、用户角色
1、查看网络配置
Windows系统:
ipconfig /all
Linux系统:
ifconfig
2、查看操作系统信息
Windows系统:
systeminfo
systeminfo | findstr "OS"
Linux系统:
uname -a
cat /proc/version
3、查看安装的软件及版本
Windows系统:
wmic product get name,version,description
Linux系统:
dpkg -l:列出所有安装的文件和库
dpkg -l 软件名称:列举安装的版本
4、查看本机服务信息
Windows系统:
wmic server list brief
net start
Linux系统:
service --status-all
+ 表示服务正在运行
- 表示服务已停止
服务状态:service 服务名 status
5、查看进程列表
Windows系统:
查看进程:tasklist
查看某一个进程:tasklist | findstr "ftp"
查看进程:wmic process get name,processid
Linux系统:
查看进程:ps -aux 或 ps -ef
搜索某个进程:ps -aux | grep ftp
6、查看启动信息
Windows系统:
wmic startup get command,caption
Linux系统:
dmesg
7、查看计划任务
Windows系统:
at 或 schtasks
net start 可以查看对应的计划任务服务task scheduler是否启动
Linux系统:
crontab -l
8、查看开机时间
Windows系统:
net statistics workstation
Linux系统:
cat /proc/uptimedate -d "$(awk -F. '{print $1}' /proc/uptime) second ago" +"%Y-%m-%d %H:%M:%S"
cat /proc/uptime| awk -F. '{run_days=$1 / 86400;run_hour=($1 % 86400)/3600;run_minute=($1 % 3600)/60;run_second=$1 % 60;printf("系统已运行:%d天%d时%d分%d秒",run_days,run_hour,run_minute,run_second)}'
9、查看用户列表
Windows系统:
查看本机用户列表:net user
查看本地管理员信息:net localgroup administrators
域用户:net user /domain
域用户:net user zs /domain
查看当前在线用户:query user || qwinsta
Linux系统:
查看所有用户:cat /etc/passwd
查看用户组:cat /etc/group
10、查看端口列表
Windows系统:
netstat -ano
根据pid结合tasklist可以找到具体的程序
Linux系统:
netstat -antpl
11、查看补丁列表
Windows系统:
systeminfo
wmic qfe get /all
wmic qfe get caption,description,hotfixid,installedon
12、查看本机共享列表
Windows系统:
net share
wmic share get /all
wmic share get name,path,status
13、查看路由表及ARP信息
Windows系统:
arp -a
route print
tracert baidu.com //跃点跟踪
Linux系统:
arp -a
route
14、查看防火墙相关配置
Windows系统:
1)查看防火墙配置: netsh firewall show config
2)打开防火墙配置: netsh advfirewall set allprofiles state on
3)关闭防火墙配置: netsh advfirewall set allprofiles state off
4)修改防火墙配置:
4.1)允许程序进入 netsh advfirewall firewall add rule name= "pass nc" dir=in action=allow program= "C:\nc.exe"
4.2)允许指定程序退出 netsh advfirewall firewall add rule name= “out nc" dir=out action=allow program="C:\nc.exe"
4.3)允许RDP(3389)端口放行 netsh advfirewall firewall add rule name= "Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
15、查看注册表参数
Windows系统:
reg query /?
16、查看远程连接情况
Windows系统:
1) 查看远程连接端口是否更改
reg query “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber
2) 打开3389端口
2.1)Windows Server2008,2012系统:
wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /vfSingleSessionPerUser /t REG_DWORD /d 0 /f
2.2)Windows Server2003 ,WinXP 系统:
wmic path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
3)打开远程桌面:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /vfDenyTSConnections /t REG_DWORD /d 0 /f
4)关闭远程桌面:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /vfDenyTSConnections /t REG_DWORD /d 1 /f
5)查看远程桌面开启状态:
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /vfDenyTSConnections /t REG_DWORD
17、查看当前用户权限
Windows系统:
whoami
whoami /all
Linux系统:
whoami
18、查看域信息
Windows系统:
1)查看网关地址、DNS的IP地址、域名、本机是否与DNS服务器处于同一网段:ipconfig /all
2)解析出的域名服务器的IP地址和DNS服务器IP是否一致:nslookup 域名
3)确定用户的登录域:systeminfo
4)判断是否在主域:net time /domain
依据:域服务器通常会同时作为时间服务器使用
注意:需要在域用户登录的机器中查看
5)查询当前登录域及登录用户信息:net config workstation
