网络安全深入学习第九课——本机信息收集
- 电脑硬件
- 2025-07-21 19:26:07
文章目录 一、Windows基本信息收集1、查看当前权限2、查看指定用户的详细信息3、查看用户SID4、查看网卡配置5、查看服务器版本\补丁等6、查看系统架构7、查看安装的软件及版本8、查看本机服务信息9、查询进程信息和列表10、查看启动程序信息11、查看计划任务12、查看主机开机时间13、查看属于本地管理员组的用户14、查看当前在线用户15、端口开放情况16、列出或者断开本地计算机和连接的客户端会话17、补丁列表18、查看本机共享和可访问共享列表19、收集本机WIFI信息20、查询当前保存的凭据21、查询杀软等信息22、查询RDP凭据 二、杀毒软件检测对比三、Windows防火墙相关1、进站规则2、关闭防火墙3、修改防火墙配置4、端口转发(杀软告警)5、自定义防火墙日志存储位置6、允许3389连接 四、Windows远程服务相关1、查询远程服务是否开启2、查看远程服务的端口3、修改远程服务端口4、开启远程服务 五、网段信息收集1、netstat -nato -p tcp2、C:\Windows\System32\drivers\etc\hosts3、ipconfig4、远程连接管理工具5、远程连接记录6、事件查看器 -> windows日志 -> 安全 -> id:4648 六、存活主机探测1、NetBIOS快速探测内网2、利用ICMP协议探测内网3、arp4、tcp\udp 七、端口扫描
一、Windows基本信息收集 1、查看当前权限 命令:whoami 2、查看指定用户的详细信息 命令:net user username 命令:net user username /domain 3、查看用户SID 命令:whoami /all 4、查看网卡配置 命令:ipconfig /all 5、查看服务器版本\补丁等 命令:systeminfo 6、查看系统架构 命令:echo %PROCESSOR_ARCHITECTURE% 7、查看安装的软件及版本 命令:wmic product get name,version 8、查看本机服务信息 命令:wmic service list brief 9、查询进程信息和列表 命令:wmic process list brief 命令:tasklist /v 10、查看启动程序信息 命令:wmic startup get command,caption 11、查看计划任务 命令:schtasks /query /fo LIST /v 12、查看主机开机时间 命令:net statistics workstation 13、查看属于本地管理员组的用户 命令:net localgroup administrators 14、查看当前在线用户 命令:query user || qwinsta 命令:quser 15、端口开放情况 命令:netstat -nao 16、列出或者断开本地计算机和连接的客户端会话 命令:net session 17、补丁列表 命令:wmic qfe get Caption,Description,HotFixID,InstalledOn systeminfo 18、查看本机共享和可访问共享列表 命令:net share 命令:wmic share get name,path,status 19、收集本机WIFI信息 命令:for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear 20、查询当前保存的凭据 命令:cmdkey /l 21、查询杀软等信息 命令:wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname /format:list 22、查询RDP凭据 命令:dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
二、杀毒软件检测对比
tasklist在线网站: mrxn.net/avlist/ 先在cmd中使用tasklist 命令列出进程列表,然后把整个列表复制到网站中去检测。
三、Windows防火墙相关 1、进站规则 命令:netsh advfirewall firewall show rule name=all dir=in 命令:netsh firewall show config 2、关闭防火墙 命令:netsh firewall set opmode disable // Windows Server 2003 系统及之前版本 命令:netsh advfirewall set allprofiles state off // Windows Server 2003 之后系统版本 3、修改防火墙配置 命令:netsh firewall add allowedprogram c:\nc.exe "allow nc" enable // Windows Server 2003 系统及之前版本,允许指定程序全部连接Windows Server 2003 之后系统版本,情况如下: 3.2、允许指定程序连入 命令:netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe" 3.2、允许指定程序连出 命令:netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C:\nc.exe" 3.3、允许 3389 端口放行 命令:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow 4、端口转发(杀软告警) 命令:netsh interface portproxy add v4tov4 listenaddress=192.168.193.1 listenport=701 connectaddress=192.168.192.128 connectport=701 命令:netsh interface portproxy add v4tov4 listenport=8080 connectaddress=192.168.56.101 connectport=8080 5、自定义防火墙日志存储位置 命令:netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log" 6、允许3389连接 命令:netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow \\需要管理员
四、Windows远程服务相关 1、查询远程服务是否开启 注册表查询RDP是否开启(0x1为关闭、0x0为开启) 命令:REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections 2、查看远程服务的端口 命令:REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber 3、修改远程服务端口 命令:REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00003d3 (3389) \\需要管理员 4、开启远程服务 命令:REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f //(/f强制操作) 需要管理员 命令:wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1 命令:wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1
五、网段信息收集 1、netstat -nato -p tcp 2、C:\Windows\System32\drivers\etc\hosts 3、ipconfig 4、远程连接管理工具 5、远程连接记录
命令:reg query “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers” /s
6、事件查看器 -> windows日志 -> 安全 -> id:4648六、存活主机探测 1、NetBIOS快速探测内网
NetBIOS是局域网程序使用的一种应用程序编程接口(API),为程序提供请求低级别服务的统一的命令集,为局域网提供了网络及其他特殊功能。几乎所有局域网都是在NetBIOS协议的基础上工作的。NetBIOS也是计算机的标识名,用于局域网中计算机的访问。 NetBIOS的工作流程就是正常的机器名解析查询应答过程。nbtscan-存活 -r 192.168.245.1/24
2、利用ICMP协议探测内网 命令:For /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.245.%I | findstr “TTL” 3、arp 命令:arp-scan.exe -t 10.10.10.1/24 4、tcp\udp 命令:nmap -Pn -sT -p22,445,139,135 10.10.10.1/24七、端口扫描
1、nmap
2、routescan
3、scanport
4、auxiliary/scanner/portscan/tcp
5、powershell.exe -exec bypass -Command “& {Import-Module ./Invoke-Portscan.ps1; Invoke-Portscan -Hosts 192.168.245.120 -T 4 -ports ‘445,135,139,137,22’ -oA ‘port.txt’}”
网络安全深入学习第九课——本机信息收集由讯客互联电脑硬件栏目发布,感谢您对讯客互联的认可,以及对我们原创作品以及文章的青睐,非常欢迎各位朋友分享到个人网站或者朋友圈,但转载请说明文章出处“网络安全深入学习第九课——本机信息收集”
