Windows系统的信息收集

本文最后更新于2019年6月28日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

很早之前记录过一篇「Linux提权工具/脚本__信息收集阶段性总结」的文章,但一直都没有收集和整理Windows环境下的信息收集工具、脚本,最近突然对这一块有点兴趣,所以顺手整理一下,方便以后参考。

正文:

参考解答:
一、如何获取Windows系统上已安装的软件信息?

参考3gstudent大神的文章「渗透基础——获得当前系统已安装的程序列表」,大致内容如下:

1、使用powershell调用wmi

Get-WmiObject -class Win32_Product
Get-WmiObject -class Win32_Product |Select-Object -Property name

2、使用wmic调用wmi

wmic /NAMESPACE:"\\root\CIMV2" PATH Win32_Product
wmic /NAMESPACE:"\\root\CIMV2" PATH Win32_Product get name /FORMAT:table

3、使用WMI Explorer调用wmi

4、通过控制面板获取完整的程序列表

通过对比可知,我们可以通过枚举注册表键值的方法获得完整的程序列表。但是要注意的是64位系统下,注册表存在重定向的问题,也会影响程序列表的显示。

32位程序列表对应注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\
64位程序列表对应注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
二、Windows其它常见信息收集

之前记录了一个「收集系统信息的脚本」的文章,里面有个batch和vbs的脚本,基本的信息都采集了,如果有其它的要采集的可以在其基础上进行改动即可满足一般要求。

三、Windows上收集机器硬件信息的命令和工具

一般情况下,Windows系统自带的2个命令就可以采集到绝大部分信息:

Win+R => msinfo32
Command => systeminfo

除此之外,你还有一些可视化的工具可供选择,比如:

CPU-Z
Speccy
HWiNFO (32/64)
PC Wizard
SiSoftware Sandra Lite
WinAudit
BlackBox
Flitskikker Info Tool
Smart System Informer
RWEverything

四、一些开源脚本集合

Windows批处理脚本和Unix Bash脚本,可在事件响应期间全面收集主机取证数据
https://github.com/diogo-fernan/ir-rescue

Windows主机信息收集工具(服务器信息,系统日志,中间件日志等)
https://github.com/tengzhangchao/InForMation

卡巴斯基分享了一个用于在企业内部采集每台员工电脑日志的脚本
https://securelist.com/happy-ir-in-the-new-year/83557/
https://cdn.securelist.com/files/2017/12/HappyNewYear.zip

Seatbelt 系统信息收集工具使用介绍
https://digitalforensicstips.com/2018/09/a-quick-look-at-seatbelt-for-system-enumeration/
https://github.com/GhostPack/Seatbelt

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4508.html

《Windows系统的信息收集》上的4个想法

  1. WES-NG可以给你的Windows漏洞利用提供有效建议
    https://www.freebuf.com/articles/system/209251.html
    https://github.com/bitsadmin/wesng
    https://github.com/bitsadmin/wesng/wiki/Eliminating-false-positives
    `
    WES-NG,全称为Windows ExploitSuggester – Next Generation,该工具的运行基于Windows systeminfo实用工具的输出,可以给用户提供目标操作系统可能存在的漏洞列表,并针对这些漏洞给出漏洞利用实施建议。该工具的适用系统范围从Windows XP到Windows 10,还包括Windows Server等服务器/工作站版本。
    `

  2. Windows 权限提升
    https://wuhash.com/2020-06-21.html
    `
    1. Windows 内核漏洞提权

    2. Windows操作系统配置错误提权
    2.1. 模糊路径提权
    2.2. 弱服务权限
    2.3. 弱注册表权限
    2.4. AlwaysInstallElevated MSI
    2.5. AutoLogon
    2.6. Autoruns
    2.7. Sysprep

    3. DLL Hijacking

    4. Com Hijacking

    5. 组策略提权

    6. Bypass UAC
    6.1. UAC是什么?
    6.2. Integrity levels
    6.3. Access Tokens
    6.4. UAC在登录过程中的作用
    6.5. UAC提升权限的行为
    6.6. 应用程序是否要需要UAC通知
    6.7. 影响UAC提示的行为的策略
    6.8. 如何构造能够触发UAC的程序?
    6.9. Bypass UAC
    6.10. Cobalt Strike 和meterpreter 中Bypass UAC
    6.11. 小结

    7. 获取Net-NTLM-Hash
    `

发表评论

电子邮件地址不会被公开。 必填项已用*标注