Windows渗透测试进阶：系统信息收集与提权实战

1. 项目概述

在渗透测试和红队评估工作中，Windows权限提升始终是核心技能之一。作为OSCP认证考试的重点考察内容，掌握系统信息收集技术是后续所有提权操作的基础。本专题将延续上篇内容，深入讲解Windows环境下获取目标主机基本信息的进阶技巧和实战方法。

不同于常规教程中简单的systeminfo命令展示，我们将从渗透测试实战角度出发，剖析如何在不触发防护机制的前提下，全面收集包括系统架构、补丁状态、网络配置、用户权限、安装软件等关键信息。这些数据将直接影响后续提权路径的选择和攻击面的评估。

2. 核心需求解析

2.1 信息收集在提权中的作用

在获得初始立足点后，专业的安全测试人员需要像外科手术般精准地收集目标系统信息。这不仅仅是执行几个命令那么简单，而是需要：

1. 判断当前会话权限级别（如是否为受限用户）
2. 识别系统版本和架构（32位/64位）
3. 分析已安装补丁和安全更新
4. 枚举运行服务和进程
5. 检查网络配置和防火墙规则
6. 发现安装的第三方软件

这些信息将帮助我们构建完整的攻击面图谱，为后续选择最适合的提权方法提供决策依据。

2.2 OSCP考试的特殊要求

在OSCP认证考试环境中，信息收集需要特别注意：

1. 避免使用可能触发警报的自动化工具
2. 命令执行需要尽可能隐蔽
3. 结果需要人工快速分析和过滤
4. 必须记录所有操作步骤和输出结果

这就要求我们掌握多种手动信息收集技术，并能够灵活组合使用。

3. 核心信息收集技术详解

3.1 系统基础信息收集

3.1.1 操作系统版本识别

code复制systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

这个命令组合可以快速获取精确的系统版本信息。在实战中，我们还需要检查系统架构：

code复制wmic os get osarchitecture

注意：在受限环境中，wmic可能被禁用。此时可以使用：

code复制echo %PROCESSOR_ARCHITECTURE%

3.1.2 补丁信息分析

补丁状态直接决定了可用的提权漏洞。除了基本的systeminfo输出外，更精确的查询方式是：

code复制wmic qfe list brief

对于时间紧迫的场景，可以重点关注最近安装的补丁：

code复制wmic qfe list brief | findstr /C:"Security Update"

3.2 用户和权限枚举

3.2.1 当前用户权限检查

code复制whoami /priv

这个命令可以列出当前用户的所有特权。特别要关注以下关键权限：

• SeImpersonatePrivilege
• SeAssignPrimaryTokenPrivilege
• SeBackupPrivilege
• SeRestorePrivilege

3.2.2 本地用户组分析

code复制net localgroup

对于每个关键用户组（如Administrators、Remote Desktop Users等），需要进一步查看成员：

code复制net localgroup administrators

3.3 网络配置检查

3.3.1 基础网络信息

code复制ipconfig /all

在渗透测试中，我们还需要关注：

1. ARP缓存表（可能揭示内网其他主机）

   code复制arp -a
   

2. 活动网络连接

   code复制netstat -ano
   

3.3.2 防火墙规则分析

code复制netsh advfirewall firewall show rule name=all

重点关注允许入站的规则，特别是涉及远程管理服务的规则。

3.4 软件和服务枚举

3.4.1 已安装程序检查

code复制wmic product get name,version

在受限环境中，也可以检查注册表：

code复制reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

3.4.2 运行服务分析

code复制net start

对于每个运行的服务，需要进一步查询其配置：

code复制sc qc [服务名]

特别注意以SYSTEM权限运行的服务。

4. 高级信息收集技巧

4.1 注册表关键信息提取

Windows注册表包含大量系统配置信息。几个关键路径：

1. 自动启动项：

   code复制reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   

2. 共享资源：

   code复制reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares
   

3. 远程桌面配置：

   code复制reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server"
   

4.2 计划任务分析

code复制schtasks /query /fo LIST /v

重点关注以高权限运行的任务，以及那些设置了触发器但当前未运行的任务。

4.3 文件系统敏感位置检查

1. 可写目录：

   code复制icacls "C:\Program Files"
   

2. 配置文件：

   code复制dir /s /b *.config
   

3. 脚本文件：

   code复制dir /s /b *.bat *.ps1 *.vbs
   

5. 信息整理与分析

5.1 结果过滤与优先级排序

收集到大量信息后，需要快速识别关键点：

1. 未修补的高危漏洞
2. 配置不当的服务
3. 弱权限设置
4. 存储的凭据
5. 异常的计划任务

5.2 常见提权路径判断

根据收集的信息，可以初步判断可能的提权方向：

1. 缺失补丁 → 已知漏洞利用
2. 不当服务配置 → 服务提权
3. 弱文件夹权限 → DLL劫持
4. 存储的凭据 → 横向移动

6. 实战注意事项

1. 命令执行前先检查目标是否有命令记录功能
2. 敏感操作尽量在非工作时间进行
3. 结果收集后立即备份到安全位置
4. 避免在目标系统留下临时文件
5. 注意命令输出的编码问题（特别是非英语系统）

7. 自动化信息收集脚本

虽然OSCP考试强调手动技术，但在实际工作中，我们可以创建简单的批处理脚本加速信息收集：

batch复制@echo off
echo [*] Starting Windows information gathering
echo [*] Date: %date% Time: %time%
echo [*] Saving output to system_info_%computername%.txt

echo === System Info === >> system_info_%computername%.txt
systeminfo >> system_info_%computername%.txt

echo === User Info === >> system_info_%computername%.txt
whoami /all >> system_info_%computername%.txt
net user >> system_info_%computername%.txt

echo === Network Info === >> system_info_%computername%.txt
ipconfig /all >> system_info_%computername%.txt
netstat -ano >> system_info_%computername%.txt

echo === Software Info === >> system_info_%computername%.txt
wmic product get name,version >> system_info_%computername%.txt

echo [*] Collection complete

这个脚本可以快速收集基础信息，但需要注意：

1. 在执行前修改输出文件名
2. 根据目标环境调整收集内容
3. 完成后及时删除脚本本身

8. 信息收集后的行动建议

完成全面信息收集后，建议按照以下步骤行动：

1. 建立信息矩阵，标注各项的潜在利用价值
2. 根据目标环境特点选择2-3个最有希望的提权路径
3. 准备对应的利用工具和代码
4. 制定回退计划（如果提权失败怎么办）
5. 在测试环境验证关键操作（如果有条件）

在实际渗透测试中，我经常发现很多测试人员花费大量时间在不完整的信息收集上，导致后续提权尝试效率低下。一个专业的做法是：用30%的时间做彻底的信息收集，这样后续70%的提权操作才能有的放矢。