Windows渗透测试：系统信息收集与权限提升基础

1. 项目概述

在渗透测试领域，Windows权限提升是每个安全研究员必须掌握的核心技能。作为OSCP认证考试的重点考察内容，系统信息收集是权限提升的基础环节。本系列文章将聚焦Windows环境下的信息收集技术，特别针对如何全面获取目标主机的基本信息进行深度解析。

注意：本文所有技术仅限合法授权的渗透测试使用，未经授权的系统扫描和信息收集可能违反相关法律法规。

2. 核心需求解析

2.1 为什么需要系统信息收集

在真实的渗透测试场景中，当我们通过某种方式获取了目标系统的初始访问权限后，第一要务就是全面了解当前系统环境。这就像医生诊断病情前需要先了解病人的基本情况一样，只有掌握了足够的信息，才能制定有效的权限提升策略。

系统信息收集的主要目的包括：

• 识别操作系统版本和补丁级别
• 了解系统架构和硬件配置
• 发现已安装的软件和运行的服务
• 分析网络配置和连接状态
• 枚举用户账户和权限信息

2.2 信息收集的基本原则

有效的系统信息收集需要遵循几个基本原则：

1. 最小化干扰原则：尽量使用系统自带工具，减少上传第三方工具的风险
2. 全面性原则：不遗漏任何可能对权限提升有帮助的信息
3. 隐蔽性原则：避免触发安全警报的操作
4. 可重复性原则：确保收集过程可以被记录和复现

3. 系统信息收集技术详解

3.1 操作系统和硬件信息

3.1.1 系统基本信息收集

cmd复制systeminfo

这个命令会输出包括操作系统版本、安装日期、启动时间、系统架构、硬件信息等在内的全面系统信息。在渗透测试中，这些信息对于识别潜在的漏洞和攻击面至关重要。

实操心得：在受限环境中，systeminfo命令可能被禁用。此时可以尝试以下替代方案：

• wmic os get /value
• reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion"

3.1.2 处理器和内存信息

cmd复制wmic cpu get name,NumberOfCores,NumberOfLogicalProcessors
wmic memorychip get capacity

了解目标系统的处理能力和内存大小，有助于判断某些需要特定硬件条件的攻击是否可行。

3.2 用户和权限信息

3.2.1 当前用户信息

cmd复制whoami /all

这个命令会显示当前用户的SID、所属组以及所有权限。在权限提升过程中，了解当前用户的权限范围是制定攻击策略的基础。

3.2.2 系统用户枚举

cmd复制net user
net localgroup administrators

这些命令可以列出系统所有用户账户和管理员组成员。在寻找权限提升路径时，弱密码或配置不当的管理账户往往是突破口。

3.3 网络配置信息

3.3.1 基本网络配置

cmd复制ipconfig /all

这个命令会显示所有网络接口的详细配置，包括IP地址、子网掩码、默认网关、DNS服务器等。在横向移动时，这些信息对于网络拓扑分析非常重要。

3.3.2 活动网络连接

cmd复制netstat -ano

查看当前系统的网络连接状态，可以识别出与其他系统的通信，这在企业内网渗透中尤其有价值。

3.4 运行服务和进程信息

3.4.1 系统服务枚举

cmd复制net start
sc query

这些命令可以列出所有正在运行的系统服务。某些配置不当的服务可能提供权限提升的机会。

3.4.2 进程列表查看

cmd复制tasklist /svc
wmic process get name,processid,executablepath

了解系统运行的进程有助于识别可能存在的漏洞或配置问题。特别要注意以高权限运行的进程。

4. 高级信息收集技术

4.1 注册表信息收集

Windows注册表包含了系统的几乎所有配置信息。通过查询特定注册表项，我们可以获取更多细节：

cmd复制reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall"

这个命令会列出系统安装的所有软件，对于寻找存在漏洞的软件版本非常有帮助。

4.2 计划任务枚举

cmd复制schtasks /query /fo LIST /v

计划任务中可能包含以高权限运行的脚本或程序，这些都是权限提升的潜在目标。

4.3 共享资源枚举

cmd复制net share
net view \\localhost

共享资源可能包含敏感信息，或者配置不当的共享权限可能允许写入操作。

5. 信息整理与分析

5.1 信息整理技巧

收集到的大量信息需要有效整理才能发挥最大价值。建议采用以下方法：

1. 按类别整理信息（系统、用户、网络、服务等）
2. 标记可能存在的安全问题（如过期的软件版本）
3. 建立信息关联（如某个服务运行在特定端口）
4. 记录信息收集的时间和方法

5.2 常见信息分析模式

6. 实战中的注意事项

6.1 规避检测的技巧

在真实环境中，过于明显的信息收集行为可能触发安全警报。以下是一些规避技巧：

• 避免短时间内执行大量命令
• 优先使用系统自带工具
• 将输出重定向到文件而非直接显示
• 使用合法的系统管理命令作为掩护

6.2 受限环境下的应对

当遇到受限环境时，可以尝试以下方法：

1. 使用PowerShell替代cmd命令（如果允许）
2. 通过WMI查询获取信息
3. 利用注册表查询替代部分命令
4. 编写简单的VBS脚本执行信息收集

6.3 信息收集的自动化

对于需要频繁执行的信息收集任务，可以考虑编写简单的批处理脚本：

batch复制@echo off
echo === System Information === > info.txt
systeminfo >> info.txt
echo. >> info.txt
echo === User Information === >> info.txt
whoami /all >> info.txt
net user >> info.txt

7. 常见问题排查

7.1 命令执行被拒绝

当遇到"命令已被管理员禁用"的提示时，可以尝试：

1. 使用替代命令（如用wmic替代net）
2. 通过PowerShell执行等效操作
3. 查找该命令的其他变体或参数

7.2 输出信息不完整

某些命令的输出可能被截断，解决方法包括：

1. 将输出重定向到文件
2. 使用更详细的输出格式（如/FO LIST）
3. 分多次查询不同部分的信息

7.3 特殊字符处理

当路径或用户名包含特殊字符时，建议：

1. 使用引号包裹参数
2. 对特殊字符进行转义
3. 使用短文件名替代

8. 工具与资源推荐

8.1 内置工具清单

Windows系统自带的强大工具包括：

• WMIC：强大的系统管理命令行工具
• PowerShell：比CMD更强大的脚本环境
• Reg：注册表操作工具
• Netsh：网络配置工具

8.2 第三方工具谨慎使用

在授权测试中，有时可以使用以下工具增强信息收集能力：

• AccessChk：权限检查工具
• Seatbelt：全面的信息收集工具
• WinPEAS：自动化权限提升检查工具

重要提示：在未经明确授权的情况下，上传第三方工具到目标系统可能违反测试协议，务必谨慎。

9. 信息收集后的行动建议

完成全面信息收集后，建议按照以下步骤行动：

1. 整理并分析收集到的信息
2. 识别潜在的漏洞和攻击面
3. 根据目标环境制定针对性的权限提升策略
4. 按照风险等级排序攻击路径
5. 记录所有发现和建议

在实际渗透测试中，我经常发现许多测试员急于尝试各种攻击方法，而忽视了充分的信息收集阶段。这种做法往往事倍功半。花在信息收集上的每一分钟，都可能为后续的权限提升节省数小时的时间。