🤔什么是信息收集

🎈灵魂三问

  • 我是谁?——对当前机器角色的判断。

  • 这是哪?——对当前机器所处网络环境的拓扑结构进行分析和判断。

  • 我在哪?——对当前机器所处区域的判断。

红队(攻击队) 域环境(域控) 个人设备(环境更复杂)

蓝队(防守方) 网络安全管理工作 资产梳理

📜命令收集

🎈Windows 操作系统

💡用户信息

net user
whoami
whoami /user  (SID 1000普通用户  500管理员administrator  )
whoami /all

💡操作系统配置信息

systeminfo

💡net 命令

net user
net user Administrator
net localgroup
net share

net user xxx 123456 /add
net user xxx /del
net localgroup Administrators xxx /add

💡网络配置信息

ipconfig
ipconfig /all

💡查看链路

route print
arp -a

💡netsh 命令

netsh firewall show config
netsh advfirewall firewall show rule name=all

netsh wlan show all
netsh wlan show profiles 23-2楼办公区 key=clear

💡查询进程信息

tasklist

💡查看端口信息

netstat -ano
netstat -ano | findstr "1111"

💡查看日志

事件查看器
eventvwr
eventvwr.msc

🎈Linux 操作系统

💡系统架构信息

uname -a
Linux kali 6.12.13-amd64 #1 SMP PREEMPT_DYNAMIC Kali 6.12.13-1kali1 (2025-02-11) x86_64 GNU/Linux
系统名:Linux
主机名:kali
版本信息:6.12.13-amd64
内核版本:#1 SMP PREEMPT_DYNAMIC Kali 6.12.13-1kali1 (2025-02-11)
系统架构:x86_64
操作系统:GNU/Linux

💡用户组信息

id
whoami
who
w

cat /etc/passwd
cat /etc/shadow
/etc/group
sudo -l

💡网络、端口、链路信息

cat /etc/hosts
ip addr = ifconfig
route

netstat -antulp
lsof -i:12345

💡进程信息

ps
ps aux

💡查看历史记录

history
cat .bash_history

💡计划任务

systemctl status cron*
crontab -l

💡文件权限查看

# SUID
chmod u+s /path/to/file
-rwsr-xr-x
# SGID
# 粘滞位

ls -laih
find / -name "123.txt" 2>/dev/null
find / -name "1*.txt" 2>/dev/null
find / -type f -perm -u=s 2>/dev/null
find / -type f -perm /4000 2>/dev/null
find / -type f -perm /2000 2>/dev/null
find / -type d -perm /1000 2>/dev/null

💡服务状态

systemctl status sshd.service
service sshd status
/etc/init.d/ssh restart

🤖自动化信息收集

🎈Windows

winPEASany.exe

HIGS.bat

psloglist.exe

🎈Linux

linpeas.sh

针对 Windows 的特殊收集

🎈tasklist

应用程序(杀软、远控)

🎈QQ

聊天记录、文件、图片

C:\Users\Documents\Tencent Files\qq号

🎈微信

.dat

WxDatViewer.exe

wxdump.exe

🎈浏览器

历史记录

历史密码

Windows 主机信息收集检查清单

在当今攻防演练的心事下,随着甲方信息化业务规模越来越大,资产数量越来越多,内网结构愈加复杂,防守人员也步步为营,从 WAF、IDS、IPS 到 EDR、NDR 等,网络安全设备应有尽有,内网渗透一扫就封。最后的结果往往是红队乱打一气,获得低分。可以列出的清单逐一检查,收集更加详细的 Windows 主机信息。

用户与权限信息

命令

作用

net user

查看本机用户列表

net localgroup administrators

查看本地管理员信息

query user

查看当前在线用户

whoami /all

查看当前用户在目标系统中的具体权限

whoami && whoami /priv

查看当前权限

net localgroup

查看当前计算机中所有的组名

主机配置与服务信息

命令

作用

ipconfig /all

查看网络配置信息

wmic service list brief

查看主机服务信息

tasklist 或 wmic process list brief

查看进程信息

wmic startup get command,caption

查看启动程序信息

net session

查看本地计算机与连接的客户端对话信息

netstat -ano 或 netstat -atnp

查看端口信息

cmdkey /l

查看远程连接信息

net accounts

查看本地密码策略

$PSVersionTable

查看 PowerShell 版本信息

Get-History

Format-List -Property *

WMIC /Node:localhost /Namespace:\\root\\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

查看杀毒软件信息

网络与共享信息

命令

作用

netstat -ano

查看本机所有的 TCP 和 UDP 端口连接及其对应的 PID

netstat -anob

查看本机所有的 TCP 和 UDP 端口连接、PID 及其对应的发起程序

route print

查看路由表信息

arp -a

查看 ARP 缓存

net share

查看本机共享列表

wmic share get name,status

查看访问的域共享列表(445 端口)

net use k: \\192.168.1.10\c$

查看磁盘映射信息

查看检查配置

检查项目

作用

默认共享

查看默认共享(如 C$ 等)

本地 Web 配置

检查 IDS 配置、Name 配置等

防火墙

检查白名单 IP,可能关联远程计算机

启动项

作为持久化备用手段

安全日志

分析管理员 IP 地址及登录行为

常见的敏感信息收集类型

类型

方式

系统启用

1. Windows 无人值守文件(如 unattend.xml) 2. 剪贴板内容 3. IPC 连接记录 4. RDP 连接记录及 MSTSC 保存的密码 5. Windows 凭据管理器

Web 配置

1. 数据库密码文件(如 atpasswd) 2. 配置文件(如 config.php、common.inc.php)

第三方软件

1. 浏览器(Chrome/IE/360):保存的密码、书签、历史记录、Cookie 2. 远程工具(TeamViewer、向日葵) 3. 运维工具(Xshell、SecureCRT、WinSCP、Navicat、Xftp、TortoiseSVN) 4. 密码保存工具(KeePass、密码.txt、password.xls) 5. 代码库(GitHub、码云、备份文件) 6. 云平台 Key(阿里云、腾讯云、AWS、七牛云) 7. 通信工具(Foxmail、飞秋、微信、钉钉)

信息定位

1. 文件夹: - 部门 / 人员文件服务器及访问记录 - 员工手册、Wiki、组织架构 - 网络 / 应用架构图 - 安全设备 /VPN 手册 2. 操作系统: - 通过 LDAP 查询域内信息(用户名、组、邮箱、密码策略等) - 注意:LDAP 可能包含敏感属性(如手机号),操作需谨慎避免触发告警

Linux 主机信息收集检查清单
在渗透服务器区域时,Linux 操作系统较为常见。系统化收集目标主机信息。

Linux 信息收集清单

收集类型

用途

服务器信息

获取内核版本、操作系统位数,为匹配漏洞 EXP 提供依据(如 uname -alsb_release -a

用户信息

检查用户、组、权限、当前登录用户(who)、最后登录时间及 IP(lastlog

环境变量

查看环境配置(envprintenv),确保后渗透脚本兼容性

网络信息

探测内网存活主机(ifconfignetstat -antp),关联 Web 服务器或数据库服务

计划任务

检查可被利用的定时任务(crontab -l/etc/crontab

文件信息

- JDBC 文件:数据库连接字符串(如 jdbc.properties
- 用户文件/etc/passwd/etc/shadow(用户哈希)
- SUID 文件:查找可提权程序(find / -perm -4000
- 可写目录:如 /tmp、Web 目录(/var/www/html)、用户 Home 目录

SSH 信息

检查 SSH 连接记录(/var/log/auth.log)、私钥文件(~/.ssh/id_rsa

历史命令

分析历史操作记录(~/.bash_history~/.mysql_history 等)