windows
用户相关
- query user #查看当前在线的用户
- whoami #查看当前用户
- net user #查看当前系统全部用户
- net1 user #查看当前系统全部用户(高权限命令)
- net user /domain #查看当前域全部用户
- net user administrator #查看admin用户详细信息
- net localgroup #查看本地用户组
- net localgroup administrators #查看组中成员描述
网络相关
- ipconfig /all #查看全部ip信息
- netstat -ano #查看网络连接端口
- net view #查看在同一工作组的机器
- net view /domain #查看是否有域
- route print #查看路由表
- arp -a #查看arp表
系统相关
- set #查看系统环境变量
- systeminfo #查看系统信息
- tasklist #查看进程名称以及pid号
- net start #查看服务
- dir /a "c:\program files"
dir /a "c:\program files(86)" #查看当前已安装软件
主动搜集
- 搜索文件
- 判断主机存活
用户习惯收集
- 桌面信息
C:\Users\用户名\Desktop 下载目录
- 系统默认
C:\Users\Administrator\Downloads - 迅雷
C:\迅雷下载 - 百度云
C:\BaiduNetdiskDownload
- 系统默认
收藏夹及浏览器相关信息
- IE
C:\Users\Administrator\Favorites - CHROME
C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default - FIREFOX
C:\Users\Administrator\AppData\Local\Mozilla\Firefox\Profiles
- IE
- 聊天工具信息
系统日志信息
- 桌面信息
收集hash
一般是缓存密码
从lassa.exe获取
- wce
- pwdum7
- mimikatz
- QuarksPwDump
从SAM/system获取
- Getpass
- SAMinside