工作組信息收集

獲取本機(jī)的網(wǎng)絡(luò)配置信息

ipconfig

image.png

查詢操作系統(tǒng)和版本信息

systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本"

image.png

查看系統(tǒng)體系結(jié)構(gòu)

echo %PROCESSOR_ARCHITECTURE%

image.png

查看安裝的軟件及版本

wmic product get name,version

powershell "Get-WmiObject -class win32_product | Select-Object -Property name,version"

image.png

image.png

本機(jī)運(yùn)行的服務(wù)

wmic service list brief

image.png

查看進(jìn)程

tasklist

wmic process list brief

image.png

image.png

電腦啟動程序

wmic startup get command,caption

image.png

查看計(jì)劃任務(wù)（如果出現(xiàn)無法加載列資源 輸入：chcp 437）

schtasks /query /fo LIST /v

image.png

電腦開機(jī)時(shí)間

net statistics workstation

image.png

用戶列表信息

net user

wmic useraccount get name,SID

image.png

當(dāng)前會話列表（管理員權(quán)限）

net session

image.png

==管理員身份運(yùn)行==

image.png

查詢端口信息

netstat -ano

image.png

查看補(bǔ)丁信息

systeminfo

wmic qfe get Caption,Description,HotFixID,InstalledOn

image.png

image.png

查詢共享列表

net share

wmic share get name,path,status

image.png

查詢路由信息

route print

netstat -r

image.png

image.png

• 查詢防火墻是否開啟

netsh firewall show state

image.png

關(guān)閉防火墻(管理員權(quán)限)

# Windows server 2003: 
netsh firewall set opmode disable

# Windows server 2003之后: 
netsh firewall set opmode disable 
或者
netsh advfirewall set allprofiles state off

image.png

防火墻其他的命令

# 2003及之前的版本,允許指定的程序進(jìn)行全部的連接
netsh firewall add allowedprogram c:\nc.exe "allownc" enable

# 2003之后的版本，允許指定的程序進(jìn)行全部的連接(需要管理員身份)
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"

# 允許指定程序出,命令如下(需要管理員身份)
netsh advfirewall firewall add rule name="Allownc" dir=out action=allow program="C:\nc.exe"

# 允許3389端口放行,命令如下(需要管理員身份)
netsh advfirewall firewall add rule name="RemoteDesktop" protocol=TCP dir=in localport=3389 action=allow

開關(guān)3389 (需要管理員身份)

#開啟
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f 

#關(guān)閉
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f 

==需要管理員身份==

image.png

收集本機(jī)的WIFI密碼信息

for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear

查詢RDP端口

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP-Tcp" /V PortNumber

image.png

查詢當(dāng)前保存的憑據(jù)

cmdkey /l

image.png

arp信息

arp -a

image.png

查詢最近打開的文件

dir %APPDATA%\Microsoft\Windows\Recent

image.png

查詢本地工作組

net localgroup

image.png

查詢管理員組員信息

net localgroup administrators

image.png

查詢RDP憑據(jù)

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

image.png

查詢殺軟等信息

wmic /node:localhost /namespace:\\root\securitycenter2 path antivirusproduct get displayname /format:list

image.png