Windows

用户信息

• 用户名称

net user 查看当前用户名称
whoami 查看当前用户名称 
quser（query user） 查看当前用户名称
wmic useraccount get /ALL /format:csv

• 用户权限

net localgroup administrators

进程信息

• 查看进程

tasklist
get-process
wmic process get caption,executablepath,commandline /format:csv

• 筛选进程

tasklist | findstr "explorer.exe"
tasklist /fi "ImageName eq explorer.exe"
get-process | findstr "explorer.exe"

• 进程端口

netstat -ano | findstr "80"

• 进程内存

Dump进程内存，需要用专业的工具，什么工具都行，例如：
procdump

• 进程权限

涉及Windows编程知识，后续慢慢学习

• 进程模块

tasklist /fi "ImageName eq explorer.exe" /m

• 模块搜索

tasklist /fi "MODULES eq capauthz.dll"

系统信息

• 主机名称

hostname
[System.Net.DNS]::GetHostByName($Null)

环境变量

• 查看变量

set

• 设置变量

set test=deelmind 一次性
setx test "deelmind" 永久

系统版本

ver 查看当前服务器操作系统版本
systeminfo 查看当前系统版本与补丁信息

启动信息

• 查看自启动项

dir "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp"

计划任务

• 查看计划任务

schtasks /query

后缀信息

• 查看文件关联

assoc .txt
ftype | findstr txt

注册表项

• 开启3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

• 关闭3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

域内信息

密码信息

票据信息

服务信息

• 查看服务

tasklist /svc

sc query
wmic service list brief
Get-WmiObject win32_service | select PathName

磁盘信息

网络信息

• NET

ipconfig
arp -a
route print
netstat -anot
Get-NetTCPConnection

文件信息

日志信息

eventvwr

软件信息

• 查看安装软件

wmic product get name,version

驱动信息

• 查看驱动信息

DRIVERQUERY /V

防火墙信息

netsh advfirewall firewall

域基础信息

極客方舟 平台

AD域Powershell帮助文档

• 获取域名

systeminfo | findstr /B /C:"Domain"
wmic computersystem get domain
Get-WmiObject -Namespace root\cimv2 -Class Win32_ComputerSystem | Select Name, Domain

• 获取域信息

Get-ADDomain
Get-ADDomain -Current LoggedOnUser

• 获取域用户

 Get-ADUser -LDAPFilter '(!userAccountControl:1.2.840.113556.1.4.803:=2)'

• 获取域计算机

Get-ADComputer -Filter *

• 获取域组信息

Get-ADComputer -Filter *

• 获取域共享信息

Get-ADComputer -Filter *