various command for quick IR

January 10, 2022

Saya sedang mengerjakan sebuah investigation challenge di tryhackme.com, dan ada beberapa command line yang saya pakai disana yang menurut saya cukup menarik untuk di dokumentasikan, serta dapat dipakai sebagai script IR kilat di bagian awal asesmen.

command line yang saya pakai

  1. list usernames
    net user
    
  2. last logon, group member, password settings, user full name, etc
    net user [username]
    
  3. show local group and/or members of groups
    net localgroup
    
    net localgroup "Administrators"
    
  4. list running programs
    tasklist
    
  5. list all schedule task.
    schtasks /query /fo list /v > schtasks.txt
    
  6. export security event list to text.
    wevtutil qe Security /f:text > seclogs.txt
    

penutup

bagusnya sih dirangkum dalam sebuah script yang dapat dengan mudah langsung dijalankan. post ini tentu saja akan saya update d masa mendatang, dan semoga suatu saat script yang menyatukannya akan saya kerjakan :D