第二章内网信息收集
2.1内网信息收集概述
-
我是谁?——对当前机器角色的判断
-
这是哪?——对当前机器所处网络环境的拓扑结构进行分析和判断
-
我在哪?——对当前机器所处区域的判断
2.2收集本机信息相关命令
2.2.1手动收集信息
(1)查询操作系统和版本信息
1 2
|
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" #中文 Name->名称 Version->版本
|
(2)查询系统体系结构
1
|
echo %PROCESSOR_ARCHITECTURE%
|
(3)查看安装的软件信息
利用wmic命令 结构输出文本文件中
1
|
wmic product get name.version
|
or PowerShell收集软件版本信息
1
|
powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name,version"
|
1
|
wmic service list brief
|
(1)查看当前进程
(2)查看进程信息
1
|
wmic process list brief
|
1
|
wmic startup get command,caption
|
1
|
schtasks /query /fo LIST /v
|
1
|
net statistics workstation
|
(1)查询本机用户列表
(2)查询本地管理员
1
|
net localgroup administrators
|
(3)查看当前在线用户
9.列出或断开本地计算机与所连接的客户端之间的会话
(1)系统信息有Hotfix(s)
(2)使用wmic命令查看安装在系统补丁
1
|
wmic qfe get Caption,Description,HotFixID,InstalledOn
|
(1)查询本机共享列表
(2)利用wmic命令查找共享列表
1
|
wmic share get name,path,status
|
(1)关闭防火墙
windows server 2003及以前版本
1
|
netsh firewall set opmode disable
|
windows server 2003之后的版本
1
|
netsh advfirewall set allprofile state off
|
(2)查看防火墙配置
1
|
netsh firewall show config
|
(3)修改防火墙配置
windows server 2003及以前版本,允许指定程序全部链接
1
|
netsh firewall add allowedprogram c:nc.exe "allow nc" enable
|
windows server 2003之后的版本:
允许指定程序进入, 命令如下:
1
|
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow programm="C:nc.exe"
|
允许指定程序退出, 命令如下:
1
|
netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow programm="C:nc.exe"
|
允许3389端口放行,命令如下;
1
|
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
|
(4)自定义防火墙日志的储存位置
1
|
netsh advfirewall set currentprofile logging filename "C:windowstempfw.lpg"
|
1
|
reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings"
|
(1)查看远程连接端口
注册表查询语句,命令如下。连接的端口为0xd3d,转换后为3389.
1
|
REG QUERY "HKEY_LOCAL_MACHINESYSTEMCurrentConrolSetControlTerminal ServerWinStationsRDP-Tcp" /V PortNumber
|
(2)在Windows Server 2003中开启3389端口
1
|
wmic path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnection 1
|
(3)在Windows Server 2008和Windows Server 2012中开启3389端口
1 2 3 4 5 6 7
|
wmic /namespace:\rootcimv2terminalservices path win32_terminalservicesetting where (_CLASS != "") call setallowtsconnections 1
wmic /namespace:\rootcimv2terminalservices path win32_tsgeneralsetting where (TeminalName='RDP_Tcp') call setuserauthenticationrequired 1
reg add "HKLMSYSTEMCURRENTCONTROLSETCONTROLTERMINAL SERVER" /v fSingleSessionPerUset /t REG_DWORD /d 0 /f
|
2.2.2自动收集信息
评论