敏感信息收集与隐藏痕迹

基本信息收集

  • Linux

    • 查看信息 操作 备注
      DNS配置 /etc/resolv.conf 是否有机会DNS篡改,劫持
      用户账号 /etc/passwd
      用户密码 /etc/shadow
      当前用户 whoami
      所有登陆用户 who -a
      网卡信息 ifconfig -a
      防火墙设置 iptables -L -n
      路由表 netstat -rn
      操作系统信息 uname -a
      当前运行的进程 ps aux
      安装的软件包 dpkg -l
  • Windows

    • 查看信息 操作 备注
      ip掩码网关等 ipconfig /all
      dns缓存 ipconfig /displaydns
      开放端口及可执行程序 netstat -bano
      路由表 netstat -r
      共享 net view
      共享 net view /domain
      域信息 net user /domain
      域信息 net usr %username% /domain
      密码策略 net accounts
      共享目录 net share
      操作:把用户加入管理员组 net localgroup administrators username /add
      域控制器主机 net group “Domain Controllers” /domain
      操作:开共享 net share name$=C:/unlimited
      操作:启动锁定账号 net user username /active:yes /domain

WMIC(Windows Management instrumentation)

  • 被powershell的Get-WmiObject取代
  • Get-WmiObject又被Get-CimInstance取代
  • 了解下Get-CimInstance
  • 功能示例:
    • 查看网络登陆记录
    • 查看当前进程,什么程序通过什么命令执行的进程
    • 结束一个进程
    • 查看操作系统安装的软件
    • 静默删除软件
    • 查看共享文件夹
    • 开启“允许远程桌面”

敏感信息收集

  • 商业信息
  • 系统信息
  • Linux
    • /etc;/usr/local/etc
    • /etc/passed;/etc/shadow
    • .ssh;.gnupg 公私钥
    • 邮件和数据文件
    • 业务数据库,身份认证服务器数据库
    • /tmp
  • Windows
    • SAM数据库;注册表文件
    • %SYSTEMROOT%\repair\SAM
    • %SYSTEMROOT%\System32\config\Regback\SAM
    • 业务数据库,身份认证数据库
    • 临时文件目录
      • UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

隐藏痕迹

  • Windows

    • 禁止在登录界面显示新建账号
      • reg add 添加注册表项
    • del %WINDIR%*.log /a/s/q/f
  • Linux

    • history

      • history -c
      • rm .bash_history&&touch .bash_history&&chattr +i .bash_history
    • /var/log/

      • auth.log或secure (REH)
      • btmp 或 wtmp 文件(命令:last或lastb)
      • lastlog和faillog命令
    • 其它日志和HIDS等

其它

Ubuntu网络更新源已经不可用,可以先mount安装光盘,此时/etc/apt/sources.list会自动添加光盘为更新源,此时再安装软件包,如果光盘中有就可以成功安装。

命令

scp

lsattr

chattr