一、基础信息收集

收集版本、补丁、服务、任务、防护等。

1、查看系统详细信息

systeminfo # 查看系统配置，可以看到是否有域、补丁程序等

2、查看系统中是否存在杀软

1. tasklist # 列出当前系统允许的所有进程
2. #用windows在线网站比对进程，一次判断是否存在杀软

3、查看系统开启的服务

net start # 查看已经启动的服务，通过开启的服务可能判断出这台主机所处的角色

3、其他命令

net user # 查看所有本机用户
net user /domain # 查看所有域用户
net share # 查看存在的共享
net view # 查看所有网络邻居
schtasks # 计划任务

查找域控服务器
一般DNS服务是安装在域控上的

ipconfig /all

net user /domain # 查看是否存在域，只能判断是否存在域，普通用户执行该命令会报错

net view /domain # 查看是否存在域，只能判断是否存在域，普通用户执行该命令会报错

net time /domain # 判断主域，也就是域控主机，因为域内的主机都需要和域控主机进行时间同步，以域控时间为准

显示出来的域名，就是域控的域名，可以直接ping通。

nslookup <域名> # 获取域控IP
ping <域名> # 获取域控IP

net group /domain # 获取域用户组信息

Domain Admins # 域管理员，默认对域控有完全控制权
Domain Computers # 查看域内有哪些主机
Domain Controllers # 查看域控主机有哪些
Domain Guest # 域访客，权限低
Doman Users # 普通域用户
Enterprise Admins # 企业系统管理员，默认对域控制器有完全控制权（几乎没用过）

whoami /all # 用户权限
net config workstation # 登录信息
net user # 本地用户
net localgroup # 本地用户组
net user /domain # 获取域用户信息
net group /domain # 获取域用户组信息
wmic useraccount get /all # 涉及域用户详细信息
net group "Domain Admins" /domain # 查询域管理员账户
net group "Enterprise Admins" /domain # 查询域管理员用户组

whoami /all # 用户权限

每个用户登录成功，都会有一个SID，创建的文件中都会有相应的属性。

net config workstation # 登录信息

加入域后，域内机器可以通过域名（短域名可以，完整域名也可以）进行通信。

net group "Enterprise Admins" /domain # 查询域管理员用户组

这里多了一个$。

二、凭据信息收集

2.1 wifi信息

netsh wlan show profiles # 查看本机已连接的wifi配置文件
netsh wlan show profiles name="无线名称" key=clear # 显示指定wifi的明文密码（key=clear）

2.2 相关工具

mimikatz是用来获取系统密码的，mimikatz一定要以管理员身份运行。windows上用mimikatz，linux下用mimipenguin，需要root权限。CS插件黑魔鬼，可以收集Xshell凭据。
各种协议获取口令：CS插件：Lazagne、XenArmor。

三、横向信息收集

ping不同，但是有IP地址，说明机器存活，但是可能有防火墙，防火墙反正ping。

# 探测域控服务器和地址信息
net time /domian # 获取域控服务器IP
nslookup # 解析域名
ping <ip># 探测域内存活主机及地址信息
nbtscan 192.168.20.0/24 # 扫描网段，不免杀，基于netbois协议进行主机发现
for /L %I in (1,1,254) DO @ping -w 1 -n 192.168.3.%I | findstr "TTL=" # 推荐使用，免杀
# for /L %I in (1,1,254)：这是一个循环语句，用于迭代从 1 到 254 的数字，表示 IP 地址的最后一位。/L 表示使用数字范围进行循环。中间的1是间隔
# @ping -w 1 -n 192.168.3.%I：在每次迭代中，使用 ping 命令来向指定的 IP 地址发送一个 ICMP 回应请求。-w 1 参数表示等待 1 毫秒来接收回应，-n 参数指定要 ping 的 IP 地址.
# | findstr "TTL="：通过使用管道 | 将 ping 命令的输出传递给 findstr 命令。findstr 命令用于在文本中搜索指定的字符串，这里搜索包含 "TTL=" 的行。
nmap、masscan、powershell脚本、nishnag、empire等

nbtscan 192.168.20.0/24 # 扫描网段

域控会在有DC字符。

CS插件：Fscan
端口：5432：redis；7001：weblogic；8080：jboss；11211：memcache；27017：MongoDB。

nishang是基于powershell的，win7以后才能用nishang，不容易被杀掉。

# 设置执行策略，输入Set-ExecutionPolicy RemoteSigned，有选项提示选择Y，运行本地的script不需要数字签名，但是运行从网上下载的script需要数字签名
Set-ExecutionPolicy RemoteSigned
Set-ExecutionPolicy Bypass# 导入模块
Import-Module .\nishang.psml
# 获取模块nishang的命令函数
Get-Command -Module nishang
# 获取常规计算机信息
Get-Information
# 端口扫描
Invoke-PortScan -StartAddress 192.168.241.0 -EndAddress 192.168.241.100 -ResolveHost -ScanPort # 从192.168.241.0扫到192.168.241.100，扫得慢