Windows信息收集
用户操作
query user #查看当前在线的用户
whoami #查看当前用户
net user #查看当前系统的用户
net1 user #查看当前系统的用户
net user /domain #查看当前域里面的用户
net user administrator #查看当前用户的详细信息
net localgroup #查看本地用户组
net localgroup administrators #查看管理组中的成员
网络操作
ipconfig /all #查看当前机器的ip
netstat -ano #查看有哪些网络连接端口
net view #查看在同一工作组中的机器
net1 view /domain #判断是否有域
route print #查看路由表
arp -a #查看arp表
系统操作
set #查看系统的环境变量
systeminfo #查看当前操作系统信息,关注【补丁号】!!!
tasklist #查看进程名称以及PID号
net start #查看服务
软件安装信息查询
dir /a "c:\program files" #查看当前系统的安装的软件
dir /a "c:\program files(x86)"
收集hash
wce lassa.exe获取
pwdump7 lassa.exe获取
mimikatz lassa.exe获取
QuarksPwDump lassa.exe获取
getpass SAM/system
SAMinside SAM/system
主动收集
搜索文件
判断主机存活
用户习惯收集
用户桌面信息收集
C:\Users\用户名\Desktop
查看文件:type 文件名
浏览器信息收集
收藏夹信息收集
Chrome:
C:\Users\用户名\AppData\Local|Google|Chrome\User Data\Default
IE:
C:\Users|用户名\Favorites
Firefox
下载目录信息收集
C:\Users\用户名\Download\
迅雷
百度云
浏览器记录收集
聊天工具收集
微信
系统日志收集
登录日志
服务日志
Linux信息收集
基础情况
ifconfig
route #查看路由
whoami #查看当前用户
id #查看当前用户id
id test #查看test用户信息
w #查看当前系统活动用户
lastlog # 查看用户登陆日志
用户列表
cat /etc/passwd #查看用户列表
cat /etc/group #查看用户组
awk -F: ‘($3 == "0"){print}‘ /etc/passwd #列出超级用户
端口列表
netstat -an
netstat -antlp #查看tcp连接
系统类型和内核版本
cat /etc/issue #查看系统名称
uname -a #查看内核信息
进程信息
ps aux #查看进程信息
ps -ef
软件包和服务配置收集
dpkg -l #查看安装的软件包
rpm -qa #查看安装的软件包
cat /etc/service #查看系统存在的服务
cat /etc/syslog.conf
cat /etc/chttp.conf
cat /etc/lighttpd.conf
cat /etc/cups/cupsd.conf
cat /etc/inetd.conf
cat /etc/apache2/apache2.conf
cat /etc/my.conf
cat /etc/httpd/conf/httpd.conf
cat /opt/lampp/etc/httpd.conf
用户登录信息
/var/log/wtmp
/var/log/btmp
网络配置
cat /etc/network/interfaces #网卡配置
cat /etc/resolv.conf #dns配置
hostname #查看主机名
arp -a #网络拓扑收集
日志信息收集
HTTP日志
/var/log/apache2/access.log
MySQL日志
/var/log/mysql/error.log
apt日志
/var/log/apt/history.log
第三方信息收集
mssql
mysql
ssh
ftp
原文地址:https://www.cnblogs.com/sup3rman/p/12312822.html
时间: 2024-11-07 20:32:02