При попадании на компьютер жертвы, в первую очередь необходимо оценить и понять, где нам удалось закрепиться. Здесь список из 4-x важных команд Windows-терминала для сбора информации о системе.
1) systeminfo - дает нам информацию о:
- имени узла;
- названии и версии ОС;
- даты установки и времени загрузки ос (есть возможность понять как часто перезагружается ПК);
- разрядность ОС (многие программы работают только на определенных разрядностях);
- Часовой пояс и язык системы (понять в какой части света мы находимся);
- далее важный момент, узнать находится ли ПК в домене или нет, этот факт совпадают + домен WORKGROUP, то получается ПК не в домене, если сервер входа в сеть отличный от имени узла, тогда скорее всего ПК находится в домене (чтобы узнать более точно нужно выполнить команду whoami и посмотреть полный путь имени пользователя)
- следующий момент установленные исправления, позоляет понять обновляется ли компьютер, чтобы иметь возможность пробовать те или иные уязвимости системы;
- сетевые адаптеры, узнаем число интерфейсов и их IP-адреса
2) tasklist /V /FI "MODULES ne WOW64.dll" && tasklist /V /FI "MODULES eq WOW64.dll" советую использовать эту команду с использованием фильтров, так как это дает возможность понять кую разрядность имеет запущенный процесс, необходимо знать для инжекта в процессы.
3) tracert - позволит узнать через какие маршрутизаторы проходят пакеты от компьютера жертвы и каким провайдером пользуется жертва
4) whoami /priv - позволит узнать права пользователя работающего за ПК (довольно успешный исход когда мы имеем доступ к SeDebugPrivilege), которая позволит запускать программы требующих администраторских прав.
1) systeminfo - дает нам информацию о:
- имени узла;
- названии и версии ОС;
- даты установки и времени загрузки ос (есть возможность понять как часто перезагружается ПК);
- разрядность ОС (многие программы работают только на определенных разрядностях);
- Часовой пояс и язык системы (понять в какой части света мы находимся);
- далее важный момент, узнать находится ли ПК в домене или нет, этот факт совпадают + домен WORKGROUP, то получается ПК не в домене, если сервер входа в сеть отличный от имени узла, тогда скорее всего ПК находится в домене (чтобы узнать более точно нужно выполнить команду whoami и посмотреть полный путь имени пользователя)
- следующий момент установленные исправления, позоляет понять обновляется ли компьютер, чтобы иметь возможность пробовать те или иные уязвимости системы;
- сетевые адаптеры, узнаем число интерфейсов и их IP-адреса
2) tasklist /V /FI "MODULES ne WOW64.dll" && tasklist /V /FI "MODULES eq WOW64.dll" советую использовать эту команду с использованием фильтров, так как это дает возможность понять кую разрядность имеет запущенный процесс, необходимо знать для инжекта в процессы.
3) tracert - позволит узнать через какие маршрутизаторы проходят пакеты от компьютера жертвы и каким провайдером пользуется жертва
4) whoami /priv - позволит узнать права пользователя работающего за ПК (довольно успешный исход когда мы имеем доступ к SeDebugPrivilege), которая позволит запускать программы требующих администраторских прав.
