Windows Bilgi Toplama (Enumeration) Sırasında Kullanılan Komutlar – 1

Genel Siber Güvenlik, Incident Response

Merhabalar, bu yazımda Windows sistemlerde saldırganlar tarafından sisteme sızıldıktan sonra diğer sistemlere geçebilmek amaçlı yapılan bilgi toplama işleminde en sık kullanılan powershell komutlarını paylaşıyor olacağım.

Mavi takım üyelerinin bu komutları takip etmesinde büyük yarar var, mavi takımda yer alan bir üye eğer bu komutların çalıştırıldığını farkedip gerekli önlemleri alırsa olası bir saldırı vektörünün önüne geçmiş olabilir.

• whoami: Kullanıcı domain ve adı
• hostname: Sunucu adı
• systeminfo: İşletim Sistemi adı ve verisyonu, yüklü hotfixler
• whoami /groups: Kullanıcının üye olduğu gruplar
• net users: Kullanıcı listesi
• net localgroup Administrators: Administrators grubunun üyeleri
• net localgroup: Kullanıcı grupları
• tasklist /SVC: Çalışan işlemler ve ilgili servis bilgileri
• ipconfig /all: Ağ arayüz bilgileri
• netstat -ano: Dinleyen ağ servisleri
• net start: Çalışan servisler
• quser: Sisteme bağlı kullanıcılar
• qproess: Çalışan uygulamalar ve onları başlatan kullanıcılar
• driverquery: Driver’lar
• net share: Paylaşılanlar
• more %WINDIR%\System32\drivers\etc\hosts: Hosts dosyası
• more %WINDIR%\System32\etc\networks: Networks dosyası
• gpresult /R: Group policy

Bir cevap yazın