前言
扩大战果
C:\Windows\System32\drivers\etc\hostsC:\Users\Administrator\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt3.cmd日志
C:\Windows\System32\winevt\Logs\Microsoft-Windows-CommandProcessor%4Operational.evtx 同时,这个路径下有很多日志文件
C:\Windows\System32\winevt\Logs\下载后使用Event Viewer或者LogParser读取.evtx文件
4.可能存在 Windows应答文件
C:\Windows\Panther\Unattend.xml这个文件是 Windows 系统安装或部署过程中使用的无人值守应答文件,包含诸如用户名、计算机名、产品密钥、网络设置等自动化配置。系统安装时会自动读取该文件,以实现无需人工干预的自动化安装或系统初始化
很小的概率有,但是值得一试,里面可能有密码文件
5.SAM 文件
需要 system 权限
C:\Windows\System32\config\SAMC:\Windows\System32\config\SYSTEM读hashpython3 secretsdump.py -sam SAM -system SYSTEM LOCAL
可以拿impacket 套件中的secretsdump 提取hash,然后拿来破解hash,如果能跑出来密码,并且开放 rdp,可以爽歪歪,也可以 hash 喷洒
6.如果有 Web 端,读源码之类的审计
这个可以通过猜路径或者尝试抛出报错
7.数据库配置文件
C:\Windows\my.ini分为两个,如果有网站路径,可以尝试碰撞一下 config文件,例如 config.php,里面会记录一些数据库账号密码
8.web.config
可能有一些数据库配置信息,需要根据网站路径动态调整
9.一些配置文件
例如
C:\Windows\my.ini
10.尝试爆一下 nginx 配置文件
现在很多网站都设置了一些二级目录三级目录,使用 nginx 进行反代,如果可以读到 nginx 文件,可以进一步扩大攻击面。
11.常用文件名
桌面,可以收集一下常用文件名,例如"DMZ.xlsx"、"密码.txt"
12.域控读取所有用户 hash
C:\Windows\NTDS\ntds.ditC:\Windows\System32\config\SYSTEMpython secretsdump.py -system SYSTEM -ntds ntds.dit LOCAL
ntds.dit 中的 hash 被加密,需要 SYSTEM 文件中包含的 BootKey 来解密
如果目标机器是域控机器的话,可以读取所有用户的 Hash。
13.远控工具低版本 config文件
例如,向日葵,ToDesk 等
向日葵安装版
C:\Program Files\Oray\SunLogin\SunloginClient\config.ini向日葵便携版
C:\ProgramData\Oray\SunloginClient\config.ini读取后配合 Github 上工具
进行提取,然后找个客户端直接远控
ToDesk安装版
C:\Program Files\ToDesk\config.iniTodesk便携版
C:\ProgramData\ToDesk\config.ini具体参考文章
如果还有的话,欢迎留言区补充
广告时间
推荐
推荐