なぜべきネットワーク情報収集内のマシン:
ネットワーク侵入テスト環境を含め、機器や保護ソフトウェアがたくさんあります。ネットワーク内のターゲット情報を収集することにより、ネットワークトポロジ内の洞察力、ネットワークが最も弱いリンクを見つけることができます。
ネットワークに潜入した後、私たちは、その役割は、このマシンの役割の使用は何かされており、このマシンは、Aが装備されているものを、ネットワーク構造がどのような種類のである、現在のネットワーク環境を決定する必要がありますどのようなアンチウイルスソフトウェアなど、情報収集の必要性。
兄のよう言った:浸透は、本質的に情報収集です。
マニュアル情報収集:
このマシンは、オペレーティングシステムの情報、権限、ネットワークアンチウィルスソフトウェアIPアドレス、ポート、サービス、パッチの更新頻度、ネットワーク接続、共有、会話などを含んでいます。それはホスト内にある場合、システム、アプリケーションソフトウェア、パッチ、サービスを操作し、アンチウイルスソフトウェアは、一般的に大量インストールされています。
マシンの情報によって、あなたはドメイン全体、ソフトウェアやパッチのインストールのためのオペレーティングシステムのバージョン、という名前のユーザーについての詳細を学ぶことができます。
ネットワーク構成情報を問い合せます。
コマンド:ipconfig / allと
オペレーティングシステムおよびソフトウェア情報を照会します。
-
:オペレーティングシステムとシステムのバージョンクエリ
ます。findstr / B / C |システム情報:コマンド :「OS名」/ C:「OSバージョン」
コマンドは、システムの中国語版のために実行されている場合:システム情報| findstrの/ B / C :「OS 名」を/ C: "OSバージョン"
-
システムアーキテクチャを見る:
コマンドを:エコー%PROCESSOR_ARCHITECTURE%
-
インストールされているソフトウェアとバージョン、およびパスを表示します。
WMIC製品GET名、バージョン:使用WMICコマンドは、テキストファイルに結果を出力
-
使用PowerShellのコマンド、収集ソフトウェアのバージョン情報:PowerShellのは、 "get-WmiObjectコマンド級のWin32_Productの|を選択し、オブジェクト-Property名、バージョン"
ローカル・サービス情報をチェックします:
コマンド:WMICサービス一覧ブリーフ
クエリプロセスリスト:
-
見る現在のプロセスおよびユーザ・プロセスのリスト、解析ソフト、メールクライアント、VPN、アンチウイルスソフトウェアが処理
コマンドを:タスクリスト
-
ビュープロセスの
コマンド:WMICプロセス一覧ブリーフ
イニシエータ情報を表示します。
命令ます。wmic起動getコマンド、キャプション
スケジュールされたタスクを表示します。
コマンド:でschtasks /クエリ/ LIST / FO V
の実装では、エラーの場合、リソースを使用すると、一時的に英語に設定エンコードするコマンドCHCPを使用することができ、ロードされた列にすることはできません。
実行:CHCP 437の
その後、実行され、完了SCHTASKS後に戻っ中国のGBK(936)に設定をコードするコマンドCHCPを使用します。
実行:CHCP 936
ビューホストの起動時間:
コマンド:ネット統計ワークステーション
クエリユーザーリスト:
-
ネットユーザー:ローカルユーザーのリストを確認
-
ローカルの管理者に確認してください:ネットLOCALGROUP管理者
-
クエリユーザー:のシステムにログインして、すべてのユーザーに関する情報を表示します
リストまたはローカルコンピュータとクライアント間のセッションを切断をするために接続されています。
コマンド:ネットセッション
クエリポートリスト:
コマンド:netstatの-ano
パッチリストを表示します。
命令: systeminfo
パッチシステムにインストールされWMICビューを使用します。wmic QFEはキャプション、説明、HotFixID、InstalledOnを取得します
ネイティブ共有リストを表示します。
コマンド:ネット株
WMIC共有GET名、パス、状態:共用のリストを見つけるためにWMICコマンド
ARPキャッシュテーブルのルックアップのルーティングテーブルと、使用可能なすべてのインターフェイス
コマンド:ルート印刷とARP -a
ファイアウォールの設定:
- ファイアウォールをオフにします
- Windows Server 2003および以前のバージョンの
コマンド:netshをファイアウォールの設定OPMODE禁止 - Windows Server 2003のバージョンの後
のnetshをadvfirewallセットallprofiles状態オフ:コマンド
-
ファイアウォールの設定を確認
のnetshをadvfirewallショーallprofiles:コマンドを
-
修正ファイアウォールの設定
- Windows Server 2003およびそれ以前のバージョンでは、プログラムは、すべての接続を指定することを可能にする
コマンドを:\:netshのはallowedprogram C追加ファイアウォールを有効nc.exe「NC許可します」 - プログラムのWindows Server 2003のバージョンの後には、すべての接続を指定することを可能にする
コマンドをします。netshをadvfirewallファイアウォールルール名を追加=アクションでDIR =「をNCパス」=プログラムは=「:\ nc.exe C」が可能 - あなたがプログラムを指定することができますして終了し
、コマンドをします。netshをadvfirewallがルール名を追加=ファイアウォールアクションはプログラムをOUT = DIR =「をNC許可する」=「C:\ nc.exe」 - 3389ポートが解放可能に
コマンドをします。netshをadvfirewallファイアウォールルール名=追加許可=「リモートデスクトップ」プロトコル= TCP DIR =次に、localport中= 3389アクションを
- カスタムファイアウォールの保管場所の
コマンド:netshをadvfirewallを設定currentprofileログファイル名" C:\ WINDOWS \ TEMP \のfw.log"
プロキシの設定を確認します。
命令:REGクエリ "ます。HKEY_CURRENT_USER \ Software \ Microsoft \ Windowsの\ CurrentVersionの\インターネットの設定"
クエリおよびリモート接続サービスを開きます。
- クエリリモートポート
コマンド:REGクエリHKLM \ SYSTEM \ CURRENTCONTROLSET \コントロール\ターミナル"PortNumberの"サーバー\をWinStations \ RDP-TCP / V
0xd3d 10進3389に変換され、
- 2003年のWindowsサーバーでは、開いているポート3389
のコマンド:(!__CLASS win32_terminalservicesetting WMICパス = "")コールsetallowsconnectionsを1 - 他のシステム(プロテストserver2012、win7の、win10)開口部とポート3389を閉じるには
REGはHKLM \ SYSTEM \ CURRENTCONTROLSET ADD:コマンドで "サーバー/ VのfDenyTSConnections /トンREG_DWORD / dの00000000 / F" \コントロール\ターミナルを
クローズコマンド:REG HKLM \ SYSTEM \ CURRENTCONTROLSET \コントロールADD \ターミナル"を"サーバー/ VのfDenyTSConnections /トンREG_DWORD / dの11111111 / F
機械自動的に収集情報:
Windows XPのWMIC低権利を行うことができないの任意のバージョン、Windowsのの7つの以上のバージョンがアクセスWMICに低特権ユーザーを許可し、行動取る
の.batファイルの実行結果を作成するためには、HTMLファイルに書き込まれます。
for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html
クエリ現在のアクセス許可:
現在のアクセス許可を表示します。
ネットワーク内のドメインがある場合は、地元の普通のユーザーは、ドメイン情報を照会することはできません、機械関連の情報を照会することができます。ローカル管理者ユーザーとドメインユーザーがドメイン情報を照会することができます。原則:すべてのクエリは、ドメインユーザーがコマンドを実行したとき、それは自動的に認証にKerberosプロトコルを使用しますので、ドメイン内のユーザーのみがこの権限を持っている、(LDAPプロトコルに基づく)のドメインのドメインコントローラによって実装され、このクエリは、証明機関を必要としています追加なしには、アカウントのパスワードを入力します。
ドメインのSIDを取得します。
コマンド:whoamiは/すべて
クエリは、ユーザーの詳細を指定します。
命令:ネットユーザーのユーザー名/ドメイン
ドメインかどうかを確認します。
この関係情報を取得した後、現在のネットワークドメインか否かが判断されるドメインが存在する場合、コントローラは、ホスト・ドメインかどうかを決定する必要があります。
ipconfigコマンドを使用して
DNS IPアドレス、ドメイン名、マシンと同じネットワークセグメントと他の情報にDNSサーバかどうかを、IPゲートウェイを表示するコマンドを実行します。
コマンド:ipconfig / allと
し、その後、IP逆引きコマンドnslookupを通じ解決ドメイン名に。解決したIPアドレス、DNSサーバーとドメインコントローラーを比較すると、同じサーバー上かどうかを決定します。
詳細情報システムを表示します。
「ドメイン」のドメインコントローラとして、ドメイン名、「ログインサーバ」という。「フィールド」は「WORKGROUP」であれば、それは現在のサーバがドメインではないことを示しています。
コマンド:システム情報
現在のログインドメインとユーザログイン状況を照会:
ドメイン名のための「ワークステーションのドメインDNS名は」(それがある場合は「WORKGROUP」は、現在の非ドメイン環境ことを示している)、「ランディング・フィールドは、」現在ログインしているユーザーを示しているドメインユーザーまたはローカルユーザーです。
コマンド:ネットのconfigワークステーション
主の分析:
コマンド:NET TIME /ドメイン、3例:
- ドメインが存在するが、現在はドメインユーザーではありません
- ドメイン、現在のドメインのユーザーがあります
- ドメインは、グループの現在のネットワーク環境を存在しません。