收集可以分为以下几个方面:

操作系统的版本和名称:systeminfo | findstr /B /C:”OS 名称” /C:”OS 版本”

主机名称:hostname

查看环境变量:set

查看用户信息

  • 查看所有用户 net user

  • 查看管理员用户组 net localgroup administrators

  • 查看在线用户 query user

查看远程端口

  • 显示每个进程中的服务并查找某一个进程的PID号 tasklist | find “xxx”

  • 根据PID号查找端口 netstat -ano | find “4304”

查看网络情况

  • 网络配置情况 ipconfig /all

  • 路由器信息 route print

  • 查看ARP缓存 arp -a

  • 查看网络连接 netstat -ano

  • 查看防火墙规则 netsh firewall show config

查看程序和服务

  • 查看服务PID tasklist /SVC

  • 查看已经启动的Windows服务 net start

  • 查看某个服务的启动权限 sc qc TermService

  • 查看已经安装程序的列表 wmic product list brief

敏感文件检测

  • dir /b /s *.exe

共享资源

  • 查看net share

  • 手工添加共享 net share apdEX=C:/EX

  • 手工删除共享 net share apdEX /del

一些基础的用户管理命令

  • 添加用户 net user apd 123456 /add

  • 增加用户为管理员 net localgroup administrators apd /add

  • 查看当前系统管理员用户 net localgroup administrators

  • 查看指定用户信息 net user temp

  • 激活guest用户 net user guest /active:yes

  • 修改guest用户密码 net user gu