信息收集类型

可以收集的信息包括但不限于：

操作系统版本、内核、架构
是否在虚拟化环境中，已安装的程序、补丁
网络配置及连接
防火墙设置
用户信息、历史记录（浏览器、登陆密码）
共享信息、敏感文件、缓存信息、服务等

系统信息

常用命令：

systeminfo

功能：显示有关计算机及其操作系统的详细配置信息，包括操作系统配置，安全信息，产品ID和硬件属性（如RAM，磁盘空间和网卡）

systeminfo /fo:csv

输出为csv格式，默认为list格式显示有关计算机及其操作系统的详细配置信息，包括操作系统配置，安全信息，产品ID和硬件属性（如RAM，磁盘空间和网卡）

用户及用户组信息

whoami

显示当前登录到本地系统的用户的用户，组和权限信息。如果没有参数使用，whoami将显示当前的域和用户名

whoami /user 查看当前用户的用户名和sid
whoami /groups 查看当前用户所属的用户组
whoami /priv 查看当前用户的权限

net user

添加或修改用户帐户或显示用户帐户信息。

net user 查看本机用户
net user“admin"查看admin用户的详细信息

有的时候管理员会删除system32下的net.exe，这时候可以尝试一下net1.exe（net有点权限他都有而且功能要比net多）。

net localgroup

添加，显示或修改本地组

net localgroup“administrators"查看administrators组的信息及成员

net accounts

更新用户帐户数据库并修改所有帐户的密码和登录要求。可以用来查看密码策略等信息

网络信息

ipconfig

显示所有当前TCP/IP网络配置值并刷新动态主机配置协议（DHCP）和域名系统（DNS）设置。在不带参数的情况下使用，ipconfig显示所有适配器的IP地址，子网掩码和默认网关。

ipconfig

ipconfig/all

ipconfig/displaydns 显示DNS客户端解析程序缓存的内容，其中包括从本地主机文件预加载的条目和计算机解析的名称查询的任何最近获取的资源记录。

route

显示并修改本地IP路由表中的条目

route print -4 查看ipv4路由信息

arp

显示和修改地址解析协议（ARP）缓存中的条目，该缓存包含一个或多个用于存储IP地址及其解析的以太网或令牌环物理地址的表。

arp -a 显示arp缓存

netstat

显示活动的TCP连接，计算机侦听的端口，以太网统计信息，IP路由表，IPv4统计信息以及IPv6统计信息。

netstat -ano 显示活动的tcp、udp连接及它们对应的pid，地址与端口用数字表示
netstat -p tcp 显示tcp连接

net share

管理共享资源。在不带参数的情况下使用，net share显示关于在本地计算机上共享的所有资源的信息

net share 查看共享信息
net share c$ 查看c$共享的信息

net use

将计算机连接到共享资源或将计算机与共享资源断开连接，或显示有关计算机连接的信息。该命令还控制持久的网络连接。没有参数的情况下，net use检索一个网络连接列表

敏感文件

密码管理器：

cmdkey /l

Host文件

Hosts文件全名域名解析文件，用来建立一个主机名到ip地址的映射。它的功能是对dns做一个补充，用户可以通过控制这个文件的内容来控制某些域名的解析。
一般来说，客户端解析域名，首先会查看dns缓存，如果没有的话，查询hosts文件中的记录，如果还是没有，再去向远程dns服务器查询。通过分析hosts文件，我们可以找到一些主机信息。
Windows下hosts文件的位置：C:\Windows\System32\drivers\etc\hosts

回收站

回收站里可能会有一些有用的文件。
我们可以通过以下命令进入回收站文件夹：cd C:\$RECYCLE.BIN
这个文件夹及子文件夹是隐藏文件夹，如果我们直接使用dir命令而不加参数的话，是看不到文件夹中有什么的内容的。我们可以使用/ah参数（a显示具有指定属性的文件，h代表隐藏文件）来查看：dir /ah

这些文件夹以sid命名，如果我们要查看某一用户的回收站，就需要进入以他的sid命名的文件夹。
查看当前用户sid的命令是whoami/user，获取到sid后进入相应的文件夹

以$I开头文件保存了路径信息，$R开头的文件则是文件本身。
Type不同的文件，我们可以看到，$I开头的文件大概是这样的：
？楷事 C:\Users\z[老Desktop\README.txt
$R开头的文件则是下面这样，是这个文件本身的内容：
FOCA，Final version.December 2015

凭证收集

收集本机凭据是信息收集的一个非常重要的环节。通常我们可以收集的凭据包括但不限于：Windows hash（NTLM、LM），浏览器密码、cookie，远程桌面密码，VPN密码，WLAN密码，IIS服务器密码，FTP服务器密码等等。

Windows账户密码

Windows用户的密码加密后一般有两种形式：NTLM Hash和LM Hash（从windows Vista和2008开始，微软就取消了LMHash）
这些hash通常有两个存储的地方：对于本地用户，存储在SAM数据库中，对于域用户，则存储在域控制器的NTDS.dit数据库中。当用户登陆时，这些hash也可能贮存在内存中，能够被我们抓取到。

Windows Hash

test:1003:E52CAC67419A9A22664345140A852F61：67A54E1C9058FCA16498061B96863248:::

绿色部分是LM Hash红色部分是NTLM Hash

LM_HASH==AAD3B435B51404EEAAD3B435B51404EE:

空密码或者未使用LM_HASH

SAM

SAM全称叫做安全帐户管理器（SAM），是Windows XP，Windows Vista，Windows 7，8.1和10中存储用户密码的数据库文件。
用户密码以散列格式存储在注册表配置单元中，既可以作为LM Hash，也可以作为NTLM Hash。这个文件可以在%SystemRoot%/system32/config/SAM中找到，并且挂载在HKLM/SAM上。
为了提高SAM数据库的安全性，防止脱机软件破解，Microsoft在Windows NT4.0中引入了SYSKEY函数。启用SYSKEY时，SAM文件的磁盘上副本将被部分加密，以便存储在SAM中的所有本地帐户的密码哈希值都使用密钥（通常也称为“SYSKEY”）加密。

UAC

使用windows vista及以上操作系统的人都是接触过UAC的。举个例子：当我们右键某个可执行文件，选择以管理员身份运行，就会弹出一个对话框，依据当前用户权限的不同，可能是要求我们输入管理员凭据，也可能是询问我们是否允许该程序进行更改。这其实就是UAC。
UAC设计的目的就是通过合理地分配权限来保护数据和系统资源的安全。
UAC的一个作用就是帮助用户在不切换帐户的情况下既能选择在管理员权限下工作，又能选择在非管理员权限下工作。一般来说，用户以非管理员权限执行操作，只有在必要的时候，通过uac来暂时地提升权限。

离线凭证收集

提取SAM数据库hash

（1）使用reg命令保存注册表键

reg save hklm\sam c:\sam.hive
reg save hklm\system c:\system.hive

（2）使用Invoke-NinjaCopy

powershell -exec bypassImport-Module .\invoke-ninjacopy.ps1Invoke-NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination .\sam.hiveInvoke-NinjaCopy -Path   C:\Windows\System32\config\SYSTEM -LocalDestination .\system.hive

Saminside

使用Saminside离线提取sam数据库需要两个文件：sam与system

Cain

使用cain离线提取sam数据库需要两个文件：一个是数据库文件，另一个文件里保存了解密所需的syskey

离线提取lsass进程

Vista及以上的系统可以打开任务管理器，选择显示所有用户的进程，找到1sass进程后右键创建转储文件

procdump.exe

procdump.exe -ma lsass.exe lsass.dmp

取到内存转储文件后，就可以使用mimikatz来提取密码。这里需要注意的是运行mimikatz平台架构要与进行转储的系统兼容。命令如下：

sekurlsa::minidump lsass.dmp sekurlsa::logonpasswords

mimikatz

Mimikatz项目地址：https://github.com/gentilkiwi/mimikatz
功能：抓取lsass进程中的密码，提取sam数据库中的密码，提取chrome凭据，提取证书，支持pass-the-hash、pass-the-ticket等攻击方式，功能非常强大

Powershell版Mimikatz

项目地址：https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Invoke-Mimikatz.ps1
可以通过powershell下载执行来运行

Windows访问令牌

windows登录过程

令牌（Access Tokens）是Windows操作系统安全性的一个概念。当用户登时，系统创建一个访问令牌，里面包含登录进程返回的SID和由本地安全策略配给用户和用户的安全组的特权列表。以该用户身份运行的的所有进程都拥有该令牌的一个拷贝。系统使用令牌控制用户可以访问哪些安全对象，并控制用户执行相关系统操作的能力。

访问令牌

1.用户账户的安全标识（SID）
2.用户所属组的SID
3.识别当前登录会话的登录SID
4.用户或者用户组所保存的权限列表
5.所有者SID
6.主组SID
7.默认的DACL（ 自主访问控制列表）
8.访问令牌的来源
9.令牌是一个主令牌还是模拟令牌
10.限制的SID可选列表
11.当前模拟级别
12.其他统计

安全标识符（SID）

S - 1 - 5 - 21-3073775604-629373004-2559016625 - 1001

S - SID版本号 - 颁发机构ID - 域或本地ID - 账户和组ID

Token

Windows有两种类型的Token：

Delegation token（授权令牌）：用于交互会话登录（例如本地用户直接登录、远程桌面登录）
Impersonation token（模拟令牌）：用于非交互登录（利用net use访问共享文件夹）

两种token只在系统重启后清除

具有Delegation token的用户在注销后，该Token将变成Impersonation token，依旧有效

令牌窃取

Token是一个用户的身份标识，窃取了Token就伪装了成了该用户
窃取Token需要SYSTEM权限

本机的SYSTEM无所不能，但在工作组或者域环境中窃取令牌的用处较大

windows下的信息收集相关推荐

Windows下有关信息收集的命令
1. 基本命令查询所有计算机名称 dsquery computer 查看配置 systeminfo 查看版本 ver 进程信息 tasklist /svc 查看所有环境变量 set 查看计划任务 s ...
渗透测试-域环境下的信息收集
域环境下的信息收集常规信息类收集,应用.服务.权限用户信息收集系统信息收集其他信息收集自动信息收集 MSF自动收集信息 CS自动信息收集插件架构信息类收集-网络.用户.域控网络信息收集 ...
windows内网信息收集
前言: 进入内网之后,是一种由点到线再到面的测试,先弄清楚当前机器的情况,如在域中角色,提供的服务等信息:再以此为跳板收集其它机器的信息,当收集的信息足够多,拿下域控的可能型也就越高. 本机信息收集 ...
内网信息收集(Windows)--本机信息收集
文章目录手动查询命令本机网络配置信息查询操作系统信息和软件信息查询本机服务信息查询进程信息启动程序信息查看计划任务查询用户列表 net session 端口信息补丁信息本机共享列表 ...
Pentest WiKi Part1 信息收集
0x01 前言前段时间github上看到pentest wiki这个项目,于是就想折腾一下和几个基友一起把这个wiki翻译一波,对于刚入门的安全人员还是比较友好的,因为篇幅原因,先发出第一部分: 信 ...
内网渗透学习-Windows信息收集
内网渗透学习-Windows信息收集本章内容主要介绍在获取网站服务器webshell后,怎样对Windows主机进行信息收集,对其网络环境进行分析和利用,主要是一个思路整理,在后续的章节中会整理更详 ...
Windows提权基础：信息收集技巧及可用漏洞搜索
本文收集整理一些跟提权紧密相关的信息收集技巧和方法,以及如何在kali中搜索可用的漏洞,最后整理了目前可供使用的一些漏洞对应msf下的模块以及操作系统可提权的版本. 0X00 Windows提权信息收 ...
【内网安全】——windows信息收集
作者名:Demo不是emo 主页面链接:主页传送门创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座右铭:不要让时代的悲哀 ...
内网渗透-内网信息收集
内网信息收集文章目录内网信息收集前言 msf模块中的信息收集 msf反弹shell后的信息收集内网信息收集后记前言当我们进行外网信息收集,漏洞探测以及漏洞利用后,获得了主机的权限后,我们 ...

windows下的信息收集