Catalogue
- 1. Metadata
- 2. Tactics
- 3. Techniques
- 4. Procedure
- 5. 手动收集信息
- 5.1. 查询网络配置信息
- 5.2. 查询操作系统和软件信息
- 5.2.1. 查询操作系统和版本信息(分别对应中英文系统)
- 5.2.2. 查询系统体系结构
- 5.2.3. 查看安装的软件及版本、路径
- 5.2.4. 查询本机服务信息
- 5.2.5. 查询进程列表
- 5.2.6. 查询启动程序信息
- 5.2.7. 查询计划任务
- 5.2.8. 查询主机开机时间
- 5.2.9. 查询用户列表
- 5.2.10. 查询当前用户
- 5.2.11. 列出或断开本地计算机所连接的客户端之间的会话
- 5.2.12. 查询端口列表
- 5.2.13. 查询补丁列表
- 5.2.14. 查询本机共享列表
- 5.2.15. 查询路由表及所有可用接口的ARP缓存表
- 5.2.16. 查询或修改防火墙配置
- 5.2.17. 查看代理配置情况
- 5.2.18. 查询并开启连接服务
- 6. 自动收集信息
- 7. References
Metadata
| Author | Tahir |
|---|---|
| Creation Date | 2021/08/04 |
| Modification Date | 2021/08/04 |
| Tactics | None |
| Techniques | None |
Tactics
None
Techniques
None
Procedure
本机信息包括操作系统、权限、内网IP地址段、杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等。如果是域内主机:操作系统、应用软件、补丁、服务、杀毒软件一般都是批量安装的。
手动收集信息
查询网络配置信息
1 | ipconfig |
查询操作系统和软件信息
查询操作系统和版本信息(分别对应中英文系统)
1 | systeminfo | findstr /B /C:"OS Name" /C:"OS Version" |
查询系统体系结构
1 | echo %PROCESSOR_ARCHITECTURE% |
查看安装的软件及版本、路径
利用wmic命令
1 | wmic product get name,version |
利用PowerShell命令,收集软件信息
1 | powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name,version" |
查询本机服务信息
1 | wmic service list brief |
查询进程列表
1 | tasklist |
利用wmic命令,查询进程信息
1 | wmic process list brief |
查询启动程序信息
1 | wmic startup get command,caption |
查询计划任务
1 | schtasks /query /fo LIST /v |
查询主机开机时间
1 | net statistics workstation |
查询用户列表
1 | net user |
执行命令获取本地管理员(包含域用户)信息
1 | net localgroup administrators |
查询当前用户
1 | query user || qwinsta |
列出或断开本地计算机所连接的客户端之间的会话
1 | net session |
查询端口列表
1 | netstat -ano |
查询补丁列表
利用systeminfo命令,查看系统详细信息
1 | systeminfo |
利用wmic命令查看安装在系统中的补丁
1 | wmic qfe get Caption,Description,HotFixID,InstalledOn |
查询本机共享列表
1 | net share |
利用wmic命令查找共享列表
1 | wmic share get name,path,status |
查询路由表及所有可用接口的ARP缓存表
1 | route print |
1 | arp -a |
查询或修改防火墙配置
关闭防火墙
Windows server 2003及以前的版本:
1 | netsh firewall set opmode disable |
Windows server 2003以后的版本:
1 | netsh advfirewall set allprofiles state off |
查看防火墙配置
1 | netsh firewall show config |
修改防火墙配置
Windows server 2003及以前的版本,允许指定程序全部连接:
1 | netsh firewall add allowedprogram c:\nc.exe "allow nc" enable |
Windows server 2003以后的版本:
允许指定程序入站
1 | netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C: \nc.exe" |
允许指定程序出站
1 | netsh advfirewall firewall add rule name="allow nc" dir=out action=allow program="C: \nc.exe" |
允许3389端口放行
1 | netsh advfirewall firewall add rule name="remote desktop" protocol=TCP dir=in localport=3389 action=allow |
自定义防火墙日志的储存位置
1 | netsh advfirewall set currentprofile logging filename "C:\windows\temp\sf.log" |
查看代理配置情况
执行reg命令,查看服务器1080端口的代理配置情况
1 | reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" |
查询并开启连接服务
查看远程连接端口,利用reg命令,连接端口为0xd3d,即3389
1 | reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber |
在Windows server 2003中开启3389端口
1 | wmic path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnections 1 |
在Windows server 2008和Windows server 2012中开启3389端口
1 | wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnections 1 |
1 | wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1 |
1 | reg add "HKEY\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser |
自动收集信息
自动收集信息脚本,执行完毕生成一个HTML文件
1 | for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A" |
