Enumeración

⚠️ Ten en cuenta que si el equipo está dentro de un dominio debes revisar la sección de Enumeración de AD.

Información básica del equipo

whoami
systeminfo
hostname
net users
net logalgroups
netsh firewall show state
netsh firewall show config
netstat -ano

Tareas programadas

schtasks /query /fo LIST /v

Parches instalados en el equipo

wmic qfe get Caption,Description,HotFixID,InstalledOn

Drivers instalados

driverquery

Ficheros e información sensible

Buscar ficheros

findstr /si password *.txt
findstr /spin "password" *.*
findstr /si password *.xml
findstr /si password *.ini

#Buscar cadenas de texto en ficheros de configuración
dir /s *pass* == *cred* == *vnc* == *.config*

Buscar registros

#autologin
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon"

#putty
reg query "HKCU\Software\SimonTatham\PuTTY\Sessions"

#contraseñas
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /s

# VNC
reg query "HKCU\Software\ORL\WinVNC3\Password"

# Windows autologin
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon"

# SNMP Paramters
reg query "HKLM\SYSTEM\Current\ControlSet\Services\SNMP"

# Putty
reg query "HKCU\Software\SimonTatham\PuTTY\Sessions"

Listar parches de seguridad instalados

wmic qfe get Caption,Description,HotFixID,InstalledOn

Exploits

EthernalBlue (CVE-2017-0143)
PrintNightmare (CVE-2021–34527)
DirtyCow (CVE-2016-5195)
noPac (CVE-2021-42278 y CVE-2021-42287)
ProxyLogon (CVE-2021-26855)

PreviousWindows NextElevación de Privilegios

Last updated 3 months ago