常用Windows和Linux内网信息收集命令

Windows系统信息

<code># 查看系统信息 systeminfo /all # 查看系统架构 echo %PROCESSOR_ARCHITECTURE% # 机器名 hostname # 查看操作系统版本 ver systeminfo | findstr /B /C:"OS Name" /C:"OS Version" systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" # 中文操作系统 # 查看补丁列表 wmic qfe get Caption,Description,HotFixID,InstalledOn # 查看主机开机时间 net statistics workstation # 查看计划任务 schtasks /query /fo LIST /v # query显示所有计划任务 # 开启远程桌面 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f # 关闭远程桌面 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f</code>

用户相关

<code># 检查当前用户，权限 whoami /user && whoami /priv whoami /all # 查看当前域并获取域SID # 查看在线用户信息 quser query user || qwinsta net user # 查看本机用户 net user XXX # 查看用户详细信息 net user username password /add # 增加用户，修改密码 net user username /delete net localgroup # 查看管理员组成员 net localgroup administrators # 查看本机管理员 net localgroup administrators /domain # 登录本机的域管理员 net localgroup workgroup\user001 /add # 域用户添加到本机</code>

程序相关

<code># 查看杀毒软件 wmic /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntivirusProduct Get displayName /Format:List # 查看安装的程序和版本 wmic product get name,version # 查询运行的进程 tasklist wmic process list brief wmic process get processid,executablepath,name # 显示进程的路径、名称、pid wmic service list brief # 查看本机服务 # 远程桌面连接历史记录 cmdkey /l # 查看自启动程序列表 wmic startuo get command,caption</code>

防护墙相关操作

<code>netsh firewall show state # 防火墙状态 netsh firewall show config # 查看防火墙配置 netsh firewall set opmode disable # 关闭防火墙（Windows Server 2003及以前） netsh advfirewall set allprofiles state off # 关闭防火墙（Windows Server 2003以后） # 修改防火墙配置 netsh firewall add allowedprogram c:\\xxx\\xx.exe "allow xx" enable # 允许指定程序的全部连接（Windows Server 2003及以前） # Windows Server 2003之后： netsh advfirewall firewall add rule name="pass xx" dir=in action=allow program="C:\xxx\xx.exe" # 允许某个程序连入 netsh advfirewall firewall add rule name="pass xx" dir=out action=allow program="C:\xxx\xx.exe" # 允许某个程序外连 netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow # 开启3389端口，允许改端口放行</code>

网络连接相关

<code># TCP/UDP网络连接状态，端口信息 netstat -ano ipconfig /all # 查询本机IP段，所在域等 route print # 打印路由信息 arp -a # 查看ARP缓存，可以发现内网主机 # 查看局域网信息 net view # 查看同一域内机器列表 net view \\ip # 查看某IP共享 net view \\GHQ # 查看GHQ计算机的共享资源列表 net view /domain # 查看内网存在多少个域 net view /domin:XYZ # 查看XYZ域的机器列表 net accounts /domain # 查询域用户密码过期等信息 # 查看本机共享 net share wmic share get name,path,status</code>

域相关

<code># 判断是否存在域 net config workstation # 查看当前计算机名，全名，用户名，系统版本，工作站域，登录的域等 net view /domain # 查看域 # 查看主域服务器 net time /domain # 主域服务器会同时作为时间服务器 nltest /DCLIST:god # 查看域控制器主机名，god为域名 # 查看域用户相关信息 net user /domain # 显示所在域的用户 net user 域用户 /domain # 获取域用户详细信息 net user /domain XXX 123456 # 修改用户密码，需要域管理员权限 net group /domain # 查看域内用户组列表 net group "domain admins" /domain # 获取域管理员列表 net group "domain controllers" /domain # 查看域控制器组 net group "domain computers" /domain # 查看域机器 # 列出域信任关系 nltest /domain_trusts # 列出域与域之间的信任关系 # 获得域内用户详细信息 wmic useraccount get /all # 可以获取到域用户的用户名、描述信息、SID、域名、状态等。</code>

Linux系统信息

<code># 查看系统名称 cat /etc/issue # 查看系统名称,版本号 cat /etc/lsb-release # 查看Linux发行信息 cat /etc/*release # 查看内核版本 uname -an # 查看内核信息 cat /proc/version # 查看CPU信息 cat /proc/cpuinfo # 查看文件系统 df -a # 查看系统日志 sudo cat /var/log/syslog # 查看命令记录 cat /root/.bash_history cat ~/.bash_history # 查看主机名 hostname # 打印系统环境信息 env # 显示可用的shell cat /etc/shells</code>

用户相关

<code># 查看当前shell权限 whoami # 查看当前用户的权限和所在的管理组 id # 查看登录信息 w who last # 登入过的用户信息 lastlog # 显示系统中所有用户最近一次登录信息 # 查看账号信息 cat /etc/sudoers cat /etc/group cat /etc/passwd # 列出目前用户可执行与无法执行的指令 sudo -l</code>

网络相关

<code># 查询本机IP信息 ifconfig ip a # 查看端口信息 netstat -anpt # 查看网卡配置 cat /etc/network/interfaces</code>

程序相关

<code># 查看进程信息 ps -ef # 标准格式显示 ps aux # BSD格式显示 # 资源占有情况 top -c # 由inetd管理的服务列表 cat /etc/inetd.conf # 由xinetd管理的服务列表 cat /etc/xinetd.conf # 查看安装的程序 rpm -qa --last # Redhat yum list | grep installed # CentOS ls -l /etc/yum.repos.d/ dpkg -l # Debian cat /etc/apt/sources.list # Debian APT pkg_info # xBSD pkginfo # Solaris pacman -Q # Arch Linux emerge # Gentoo # 查看计划任务 crontab -l ls -al /etc/cron* cat /etc/cron.allow cat /etc/cron.deny cat /etc/crontab # 查看开机启动项 /etc/rc.d/init.d/</code>

配置信息

<code># 查看防火墙配置（注意需要root权限） iptables –L # 查看DNS配置文件 cat /etc/resolv.conf # 查看网卡配置文件 cat /etc/network/interfaces # 查看Apache配置文件 cat /etc/apache2/apache2.conf # 查看MySQL配置 cat /etc/my.conf # 查看SUID文件 find / -perm -u=s -type f 2>/dev/null # 最近五天的文件 find / -ctime +1 -ctime -5</code>

虚拟环境检测

<code>lsmod | grep -i "vboxsf\|vboxguest" lsmod | grep -i "vmw_baloon\|vmxnet" lsmod | grep -i "xen-vbd\|xen-vnif" lsmod | grep -i "virtio_pci\|virtio_net" lsmod | grep -i "hv_vmbus\|hv_blkvsc\|hv_netvsc\|hv_utils\|hv_storvsc"</code>