用户相关
- query user #查看当前在线的用户
- whoami #查看当前用户
- net user #查看当前系统全部用户
- net1 user #查看当前系统全部用户(高权限命令)
- net user /domain #查看当前域全部用户
- net user administrator #查看admin用户详细信息
- net localgroup #查看本地用户组
- net localgroup administrators #查看组中成员描述
网络相关
- ipconfig /all #查看全部ip信息
- netstat -ano #查看网络连接端口
- net view #查看在同一工作组的机器
- net view /domain #查看是否有域
- route print #查看路由表
- arp -a #查看arp表
系统相关
- set #查看系统环境变量
- systeminfo #查看系统信息
- tasklist #查看进程名称以及pid号
- net start #查看服务
软件安装信息
dir /a "c:program files" #查看当前系统的安装的软件
dir /a "c:program files(x86)"
主动搜集
- 搜索文件
- 判断主机存活
收集hash
一般是缓存密码
从lassa.exe获取
- wce
- pwdum7
- mimikatz
- QuarksPwDump
从SAM/system获取
- Getpass
- SAMinside
主动搜集
- 搜索文件
- 判断主机存活
用户习惯收集
- 用户桌面信息
C:Users用户名Desktop - 下载目录
- 系统默认
C:UsersAdministratorDownloads - 迅雷
C:迅雷下载 - 百度云
C:BaiduNetdiskDownload - 收藏夹及浏览器相关信息
- IE
C:UsersAdministratorFavorites - CHROME
C:UsersAdministratorAppDataLocalGoogleChromeUser DataDefault - FIREFOX
C:UsersAdministratorAppDataLocalMozillaFirefoxProfiles
- IE
- 聊天工具信息
- 系统日志信息
登录日志
服务日志