various command for quick IR

January 10, 2022
Saya sedang mengerjakan sebuah investigation challenge di tryhackme.com, dan ada

beberapa command line yang saya pakai disana yang menurut saya cukup menarik untuk di dokumentasikan, serta dapat dipakai sebagai script IR kilat di bagian awal asesmen.

command line yang saya pakai

  1. list usernames
    net user
    
  2. last logon, group member, password settings, user full name, etc
    net user [username]
    
  3. show local group and/or members of groups
    net localgroup
    
    net localgroup "Administrators"
    
  4. list running programs (and certain programs only)
    tasklist
    tasklist /m /fi “pid eq <Insert Process ID here w/out the brackets>”
    
  5. list all schedule task.
    schtasks /query /fo list /v > schtasks.txt
    
  6. various wevtutil
    wevtutil qe Security /f:text > seclogs.txt
    wevtutil el | Measure-Object
    
  7. system information
    systeminfo
    
  8. various wmic
    wmic /node:<remote-ip> /user:<username> startup list full | more
    wmic /node:<remote-ip> /user:<username> service list full | more
    wmic /node:<remote-ip> /user:<username> ComputerSystem Get UserName
    wmic /node:<remote-ip> /user:<username> useraccount list full
    wmic /node:<remote-ip> /user:<username> process get description,processid,parentprocessid,commandline /format:csv
    wmic /node:<remote-ip> /user:<username> bios get serialnumber
    wmic /node:<remote-ip> /user:<username> diskdrive get model,serialNumber,size,mediaType
    

    9.ipconfig

    ipconfig /displaydns
    
  9. netstat with PID
    netstat -bona
    
  10. see firewall state
    netsh firewall show state
    

penutup

bagusnya sih dirangkum dalam sebuah script yang dapat dengan mudah langsung dijalankan. post ini tentu saja akan saya update d masa mendatang, dan semoga suatu saat script yang menyatukannya akan saya kerjakan :D

referensi

  1. arts.ubc.ca
  2. sans
  3. jordanpotti
  4. cybernote