教你如何快速建站,百度竞价网站备案,足球梦网站建设的基本思路,中国肩章文章目录 一、Windows基本信息收集1、查看当前权限2、查看指定用户的详细信息3、查看用户SID4、查看网卡配置5、查看服务器版本\补丁等6、查看系统架构7、查看安装的软件及版本8、查看本机服务信息9、查询进程信息和列表10、查看启动程序信息11、查看计划任务12、查看主机开机时… 文章目录 一、Windows基本信息收集1、查看当前权限2、查看指定用户的详细信息3、查看用户SID4、查看网卡配置5、查看服务器版本\补丁等6、查看系统架构7、查看安装的软件及版本8、查看本机服务信息9、查询进程信息和列表10、查看启动程序信息11、查看计划任务12、查看主机开机时间13、查看属于本地管理员组的用户14、查看当前在线用户15、端口开放情况16、列出或者断开本地计算机和连接的客户端会话17、补丁列表18、查看本机共享和可访问共享列表19、收集本机WIFI信息20、查询当前保存的凭据21、查询杀软等信息22、查询RDP凭据 二、杀毒软件检测对比三、Windows防火墙相关1、进站规则2、关闭防火墙3、修改防火墙配置4、端口转发(杀软告警)5、自定义防火墙日志存储位置6、允许3389连接 四、Windows远程服务相关1、查询远程服务是否开启2、查看远程服务的端口3、修改远程服务端口4、开启远程服务 五、网段信息收集1、netstat -nato -p tcp2、C:\Windows\System32\drivers\etc\hosts3、ipconfig4、远程连接管理工具5、远程连接记录6、事件查看器 - windows日志 - 安全 - id:4648 六、存活主机探测1、NetBIOS快速探测内网2、利用ICMP协议探测内网3、arp4、tcp\udp 七、端口扫描 一、Windows基本信息收集
1、查看当前权限
命令whoami2、查看指定用户的详细信息
命令net user username
命令net user username /domain3、查看用户SID
命令whoami /all4、查看网卡配置
命令ipconfig /all5、查看服务器版本\补丁等
命令systeminfo6、查看系统架构
命令echo %PROCESSOR_ARCHITECTURE%7、查看安装的软件及版本
命令wmic product get name,version8、查看本机服务信息
命令wmic service list brief9、查询进程信息和列表
命令wmic process list brief
命令tasklist /v10、查看启动程序信息
命令wmic startup get command,caption11、查看计划任务
命令schtasks /query /fo LIST /v12、查看主机开机时间
命令net statistics workstation13、查看属于本地管理员组的用户
命令net localgroup administrators14、查看当前在线用户
命令query user || qwinsta
命令quser15、端口开放情况
命令netstat -nao16、列出或者断开本地计算机和连接的客户端会话
命令net session17、补丁列表
命令wmic qfe get Caption,Description,HotFixID,InstalledOn
systeminfo18、查看本机共享和可访问共享列表
命令net share
命令wmic share get name,path,status19、收集本机WIFI信息
命令for /f skip9 tokens1,2 delims: %i in (netsh wlan show profiles) do echo %j | findstr -i -v echo | netsh wlan show profiles %j keyclear20、查询当前保存的凭据
命令cmdkey /l21、查询杀软等信息
命令wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname /format:list22、查询RDP凭据
命令dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*二、杀毒软件检测对比
tasklist在线网站https://mrxn.net/avlist/ 先在cmd中使用tasklist 命令列出进程列表然后把整个列表复制到网站中去检测。 三、Windows防火墙相关
1、进站规则
命令netsh advfirewall firewall show rule nameall dirin
命令netsh firewall show config2、关闭防火墙
命令netsh firewall set opmode disable
// Windows Server 2003 系统及之前版本命令netsh advfirewall set allprofiles state off
// Windows Server 2003 之后系统版本 3、修改防火墙配置
命令netsh firewall add allowedprogram c:\nc.exe allow nc enable
// Windows Server 2003 系统及之前版本允许指定程序全部连接Windows Server 2003 之后系统版本情况如下3.2、允许指定程序连入
命令netsh advfirewall firewall add rule namepass nc dirin actionallow programC:\nc.exe3.2、允许指定程序连出
命令netsh advfirewall firewall add rule nameAllow nc dirout actionallow programC:\nc.exe3.3、允许 3389 端口放行
命令netsh advfirewall firewall add rule nameRemote Desktop protocolTCP dirin localport3389 actionallow4、端口转发(杀软告警)
命令netsh interface portproxy add v4tov4 listenaddress192.168.193.1 listenport701 connectaddress192.168.192.128 connectport701命令netsh interface portproxy add v4tov4 listenport8080 connectaddress192.168.56.101 connectport80805、自定义防火墙日志存储位置
命令netsh advfirewall set currentprofile logging filename C:\windows\temp\fw.log6、允许3389连接
命令netsh advfirewall firewall add rule nameRemote Desktop protocolTCP dirin localport3389 actionallow
\\需要管理员四、Windows远程服务相关
1、查询远程服务是否开启
注册表查询RDP是否开启(0x1为关闭、0x0为开启)
命令REG QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections 2、查看远程服务的端口
命令REG QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp /v PortNumber3、修改远程服务端口
命令REG ADD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x00003d3 3389
\\需要管理员4、开启远程服务
命令REG ADD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
///f强制操作 需要管理员命令wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !) call setallowtsconnections 1命令wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalNameRDP-Tcp) call setuserauthenticationrequired 1五、网段信息收集
1、netstat -nato -p tcp
2、C:\Windows\System32\drivers\etc\hosts
3、ipconfig
4、远程连接管理工具
5、远程连接记录
命令reg query “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers” /s
6、事件查看器 - windows日志 - 安全 - id:4648 六、存活主机探测
1、NetBIOS快速探测内网
NetBIOS是局域网程序使用的一种应用程序编程接口(API)为程序提供请求低级别服务的统一的命令集为局域网提供了网络及其他特殊功能。几乎所有局域网都是在NetBIOS协议的基础上工作的。NetBIOS也是计算机的标识名用于局域网中计算机的访问。 NetBIOS的工作流程就是正常的机器名解析查询应答过程。nbtscan-存活 -r 192.168.245.1/24
2、利用ICMP协议探测内网
命令For /L %I in (1,1,254) DO ping -w 1 -n 1 192.168.245.%I | findstr “TTL”3、arp
命令arp-scan.exe -t 10.10.10.1/244、tcp\udp
命令nmap -Pn -sT -p22,445,139,135 10.10.10.1/24七、端口扫描 1、nmap 2、routescan 3、scanport 4、auxiliary/scanner/portscan/tcp 5、powershell.exe -exec bypass -Command “ {Import-Module ./Invoke-Portscan.ps1; Invoke-Portscan -Hosts 192.168.245.120 -T 4 -ports ‘445,135,139,137,22’ -oA ‘port.txt’}”
