内网信息收集命令汇总

• 查看网络配置信息
  ipconfig/all
  

• 查看操作系统及软件信息

  • 查看操作系统和版本信息
    systeminfo | findstr /B /C:"OS"
    
  • 查看系统体系结构
    echo %PROCESSOR_ARCHITECTURE%
    
  • 查看安装的软件及版本、路径等
    wmic product get name, version

powershell "Get-WmiObject -class Win32_Product | Select-Object -Property name, version"
    

• 查看本机服务信息
  wmic service list brief
  

• 查看进程列表
  task

wmic process list brief
  

• 查看启动程序信息
  wmic startup get command, caption
  

• 查看计划任务
  schtasks /query /fo LIST /v

• 查看主机开机时间
  net statistics workstation
  

• 查询用户列表
  net user
net localgroup administrators
query user || qwinsta//查看当前在线用户
  

• 列出或断开本地计算机与所连接的客户端之间的会话
  net session

• 查询端口列表
  netstat -ano
  

• 查看补丁列表
  systeminfo
  

wmic qfe get Caption, Description,HotFixID,INstalledON

• 查询本机共享列表
  net share
  

wmic share get name,path,status

• 查询路由表及所有可用借口的ARP缓存表
  route print
  

arp -a

• 查询防火墙相关配置

  • 关闭防火墙

    • Windows server 2003 之前
      

    • Windows server 2003之后
      

  • 查看防火墙配置
    netsh firewall show config
    

  • 修改防火墙配置windows server 2003及之前的版本，允许指定程序全部连接
    netsh firewall add allowedprogram c:\nc.exe "allow nc" enable
    

  • windows server 2003之后的版本

    • 允许指定程序进入
      netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"
      

    • 允许指定程序退出
      netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C:\nc.exe"
      

    • 允许3389端口放行
      netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
      

    • 自定义防火墙日志的存储位置
      netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"
      

• 查看代理配置情况
  reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
  

• 查询并开启远程连接服务

  • 查看远程连接端口
    REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber
    

  • 在Windows Server2003中开启3389端口
    wmic path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

  • 在Windows Server 2008和2012中开启3389端口
    wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1
reg add "HKLM\SYSTEM\Current\ControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

• 查询远程桌面端口号
  REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

• 查询当前权限

  • 查看当前权限
    whoami
    

  • 获取域SID
    whoami /all
    

  • 查询指定用户的详细信息
    net user username /domain
    

• 判断是否存在域

  • 使用ipconfig命令
    ipconfig /all
  • 查看系统详细信息
    systeminfo
  • 查询当前登陆域及登录用户信息
    net config workstation
  • 判断主域
    net time /domain

• 探测域内存活主机

  • 利用NetBIOS快速探测内网
    将nbt.exe上传到目标主机 nbtscan.exe 192.168.62.0/24
  • 利用ICMP协议快速探测内网
    for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TLL="
  • 通过ARP扫描探测内网
    ``
  • 扫描域内端口

• 收集域内基础信息

  • 查询域
    net view /domain

  • 查询域内所有计算机
    net view /domain:PC_name

  • 查询域内所有用户列表
    net group /domain
    

  • 查询所有域成员计算机列表
    net group "domain computers" /domain
    

  • 获取域密码信息
    net accounts /domain
    

  • 获取域信任信息
    nltest /domain_trusts
    

  • 查找域控制器

  • 查看域控制器的机器名
    nltest /DCLIST:hacker

  • 查看域控制器的主机名
    nslookup -type=SRV _ldap._tcp
    

  • 查看当前时间
    net time /domain
    

  • 查看域控制器组
    net group "Domain Controllers" /domain
netdom query pdc

• 获取域内的用户和管理员信息

  • 查询所有域用户列表

    • 向域控制器进行查询
      net user /domain

    • 获取域内用户的详细信息
      wmic useraccount get /all

    • 查看存在的用户
      dsquery user

    • 查询本地管理员组用户
      net localgroup administrators

  • 查询域管理员组

    • 查询域管理员用户
      net group "domain admins" /domain
    • 查询域管理员用户组
      net group "Enterprise Admins" /domain

  • 定位域管理员
    psloggedon.exe

    PVEFindADUser.exe

    netview.exe

    powerview脚本

    Import-Module ./PowerView.ps1
    Invoke-UserHunter
    

    powershell.exe -exec Bypass -Command "& {Import-Module C:\Users\Administrator\Desktop\PowerView.ps1; Invoke-UserHunter}"

• 查找域管理进程

  • 本机检查

    • 获取域管理员列表
      net group "Domain Admins" /domain
      

    • 列出本机的所有进程及进程用户
      tasklist /v

  • 查询域控制器的与用户会话

    • 查询域控制器列表
      net group "Domain Controllers" /domain
    • 收集域管理员列表
      net group "Domain Admins" /domain
    • 收集所有活动域的会话列表
      netsess.exe NetSess -h

  • 查询远程系统中运行的任务
    net group "Domain Admins" /domain GDA.bat https://github.com/nullbind/Other-Projects

  • 利用powershell收集域信息