获取当前Shell的详细权限属性信息(即priv的内容),区分当前是本地用户还是域用户
获取当前机器的详细网络配置信息,包括 dns后缀,DNS后缀搜索列表,ip,掩码,网关,主备dns ip,dns缓存
获取当前机器的详细系统配置信息,包括 当前系统详细版本,内核版本,位数,启动时间,网卡信息,是否虚拟机,哪种虚拟机 [eg: VMWARE,VDI(一般从厂商名能看出来)......]
获取当前机器的 各类敏感 服务 / 进程列表
需要特别关注的一些敏感进程:
各类常见杀软进程 [ 赛门铁克, 360套装(包括天擎), 麦咖啡, ESET, 卡巴, 趋势, WindowsDefender, Sophos, 火绒, QQ管家...... ]
常规监控系统的agent端进程 [ Zabbix, Cacti(默认用snmp远程搜集系统信息), Nagios]
敏感工具进程 [ Chrome,Firefox,Edege,IE,Xshell,Xftp,SecureCRT,Navicat,TortoiseSVN,Git,Foxmail,Filezilla,Vnc,Putty,Office套件,Teamviewer,向日葵...]
可疑恶意敏感进程 [ Powershell.exe, mshta.exe, cmd.exe,cscript.exe .... ]
各类Java服务进程 [ 通常Java权限较高,后面提权可能会用得到 ]
包括对应进程的详细用户权限
需要特别关注的一些敏感服务:
本机各类Web服务
本机各类数据库服务
本机各类杀软 / EDR服务
本机各类常规监控的相关服务
...
获取当前机器的所有Tcp / Udp 端口连接状态信息,顺手重点关注那些后期可用来"提权"或者搜集密码的各类敏感服务端口
获取当前机器的所有已经安装软件列表(留后门,抓密码可能会用得到)
获取当前用户浏览器 [ Chrome,Firefox,Edge,IE,360,QQ ] 的各类敏感数据,eg: 保存的账号密码,收藏夹链接,历史浏览记录,Cookie [ 注: 如浏览器正在运行可能无法获取相关数据 ]
获取当前用户Windows凭据管理器中保存的各类账号密码
获取当前用户的浏览器代理ip和端口
出网刺探,查看当前机器能否正常出网 [ Tcp / Udp / Dns /icmp ]
获取当前机器的 "关键性本地组" 成员 [ 比如,本地管理组,远程桌面组 ]
获取本机已启用的共享
获取当前用户回收站,桌面里的文件目录列表
获取最近运行的命令历史和访问过的文件记录
获取当前机器的所有Rdp连出记录 [ 不包括连入记录 ]
获取当前系统的防火墙状态 [开启 / 关闭]
获取当前机器根下的计划任务列表
获取当前用户的注册表自启动项列表
获取当前机器的所有IPC会话
获取当前机器的Powershell 和 .Net 版本
获取当前机器的WIFI连接账号密码
获取当前机器中的服务票据 [ 待后续拿到管理权限后可进行PTT操作 ]
获取当前机器的详细补丁列表
获取本机ARP / DNS 缓存记录
获取本机host文件内容
获取当前用户环境变量
定时跟踪操作截屏 [ 需要在指定用户环境下操作 ]
获取当前系统的Laps配置 [ 如果有 ]
抓取当前系统的所有本地用户明文密码及Hash
插SSP [ 众所周知,Win8.1 / 2012R2 之后的系统默认抓不到明文,所以可以通过此方式等目标下次登录时来获取明文,类似的基础工具肯定都需事先免杀好,不多说 ]
获取当前系统中的所有用户Token [ 后续可尝试模拟伪造令牌进行横向移动 ]
获取当前系统中日志id为4624 和 4628的,最近60天的登录记录
获取当前用户的Masterkey,后续解密用
等等等...
"| |" tree /A |findstr /BV /C:
比如, 文件类型 *.xlsx,*.doc,*.docx,*.txt,*.zip,*.rar,*.7z,*.ovpn,*. vsdx,*.ppt,*pptx,*.php,*.sql,*.md......
比如, 全盘搜带有以下敏感字段的文件,其实还有非常非常多,弟兄们平时在搞的过程中最好一边搞一边积累
"密码(pass)", "账号(user)", "VPN",
"SVN","GIT", "账户(user)",
"交接", "离职", "登录(login)",
"账密", "堡垒", "邮箱(Mail)" ,
"IT", "信息安全", "IT部", "备份(bak)",
"管理员(admin)", "内网", "杀毒" ,
"入职", "服务器" , "运维" ,
"平台", "巡检", "拓扑", "资产",
"网络", "系统", "后台(system)" ,
"漏洞", "扫描", "数据库", "交换机",
"ERP", "防火墙" , "防毒墙", "合同",
"虚拟", "集群", "通讯录", "订单"
"办公", "权限", "隔离", "测试"
"网闸", "监控", "设备", "简历", "工资"
cd c:Tools 要在哪个目录下搜就先进到那个目录下,不建议直接在根下搜(搜索时间太长,垃圾数据太多),又是C盘根下
"*密码*" "*登录*" "*资产*" "*VPN*" "*Svn*" "*Git*" "*交接*" "*离职*" "*网络*" "*后台*" "*拓扑*" "*邮箱*" "*工资*" "*管理员*" "*巡检*" dir /s /b
# findstr /I /c:"user=" /c:"pass=" /c:"login=" /c:"uid=" /c:"pwd=" /si *.conf *.asp *.php *.jsp *.aspx *.cgi *.xml *.ini *.inf *.txt *.cgi
本文始发于微信公众号(红队防线):如何基于 点 位快速搜集
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论