Widows信息收集：

WMIC（Windows Management Instrumentation）

可以实现一下普通命令行无法实现的功能

wmic nicconfig get aipaddress, macaddress：显示IP 和MAC 地址

wmic computersystem get username：显示用户名

wmic netlogin get name, lastlogon：显示登录用户以及登录时间

wmic process get caption, executablepath, commandline：显示进程对应的程序

wmic process where name="calc.exe" call terminate：结束"calc.exe"进程

wmic os get name, servicepackmajorversion：查询主机版本以及所打的包

wmic product get name,version：查主机所安装软件和版本

wmic product where name="name" call unistall /nointeractive：无交互下删除"name"程序（悄悄地）

wmic share get /ALL：查看共享文件夹

wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1"：开启远程桌面，如：/node:localhost 则开启本机远程桌面

wmic ntenetlog get path, filename, writeable：查看当前系统日志对应的文件

收集敏感数据：

    商业信息

    系统信息

    Linux：

        /etc;  /usr/local/etc

        /etc/password;  /etc/shadow

        ~/.ssh/;  ~/.gnupg/ 公私钥

        The e-mail and data files

        业务数据库； 身份认证服务器数据库

        ~/tmp  临时数据目录中隐私泄露

    Windows：

        SAM数据库； 注册表文件

        %SYSTEMROOT%\repair\SAM：备份版本

        %SYSTEMROOT%\System32\config\RegBack\SAM：备份版本

        业务数据库； 身份认证数据库

        临时文件目录

        UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

WMIC(WINDOWS MANAGEMENT INSTRUMENTATION)

• wmic nicconfig get ipaddress,macaddress

 //读取IP和Mac地址

• wmic computersystemget username

//查登录账号名称

• wmic netlogin get name,lastlogon

//查看用户登录记录的

• wmic process get caption, executablepath,commandline

//查看当前系统进程及其是使用什么命令运行的

• wmic process where name=“calc.exe" call terminate

//结束进程

• wmic os get name,servicepackmajorversion

//提取操作系统servicepack版本   用于判断打什么补丁

• wmic product get name,version

//查看当前机器安装的软件

• wmic product where name=“name” call uninstall /nointeractive

//删软件  /nointeractive是在后台执行

• wmic share get /ALL

//看共享文件夹

• wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections"1"

//用于开启远程服务

• wmic nteventlogget path,filename, writeable

//用于查看当前系统日志对应文件  等同于运行里的eventvwr

收集敏感数据

• 商业信息

• 系统信息

• Linux

• /etc ；/usr/local/etc

• /etc/passwd ；/etc/shadow

• .ssh ；.gnupg 公私钥

• The e-mail and data files

• 业务数据库 ；身份认证服务器数据库

• /tmp         //可能找到管理员不小心留下的重要数据或是程序运行中的临时数据

• windows

• SAM 数据库 ； 注册表文件

• %SYSTEMROOT%\repair\SAM

• %SYSTEMROOT%\System32\config\RegBack\SAM • 业务数据库 ； 身份认证数据库

• 临时文件目录

• UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

WMIC（windows管理框架）

• wmic nicconfig get ipaddress,macaddress

#读取ip，mac地址

• wmic computersystemget username

#查看当前登录账号名称

• wmic netlogin get name,lastlogon

#查看用户登录记录

• wmic process get caption, executablepath,commandline

#查看当前运行进程

• wmic process where name=“calc.exe" call terminate

#中止calc.exe进程

• wmic os get name,servicepackmajorversion

#提取系统servicepack版本

• wmic product get name,version

#查看当前系统安装了哪些软件

• wmic product where name=“name” call uninstall /nointeractive

#在后台删除name程序

• wmic share get /ALL

#查看共享文件夹

• wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections"1“

#开启远程桌面

• wmic nteventlogget path,filename, writeable

#查看当前系统日志

敏感数据

Linux

• /etc ；/usr/local/etc #敏感配置路径

• /etc/passwd ；/etc/shadow #账号密码

• .ssh ；.gnupg #公私钥

• The e-mail and data files

• 业务数据库 ；身份认证服务器数据库

• /tmp

windows

• SAM 数据库 ； 注册表文件

• %SYSTEMROOT%\repair\SAM

•%SYSTEMROOT%\System32\config\RegBack\SAM

• 业务数据库 ； 身份认证数据库

• 临时文件目录

•UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\