基本信息收集
Linux
Windows
查看信息 操作 备注 ip掩码网关等 ipconfig /all dns缓存 ipconfig /displaydns 开放端口及可执行程序 netstat -bano 路由表 netstat -r 共享 net view 共享 net view /domain 域信息 net user /domain 域信息 net usr %username% /domain 密码策略 net accounts 共享目录 net share 操作:把用户加入管理员组 net localgroup administrators username /add 域控制器主机 net group “Domain Controllers” /domain 操作:开共享 net share name$=C:/unlimited 操作:启动锁定账号 net user username /active:yes /domain
WMIC(Windows Management instrumentation)
- 被powershell的Get-WmiObject取代
- Get-WmiObject又被Get-CimInstance取代
- 了解下Get-CimInstance
- 功能示例:
- 查看网络登陆记录
- 查看当前进程,什么程序通过什么命令执行的进程
- 结束一个进程
- 查看操作系统安装的软件
- 静默删除软件
- 查看共享文件夹
- 开启“允许远程桌面”
敏感信息收集
- 商业信息
- 系统信息
- Linux
- /etc;/usr/local/etc
- /etc/passed;/etc/shadow
- .ssh;.gnupg 公私钥
- 邮件和数据文件
- 业务数据库,身份认证服务器数据库
- /tmp
- Windows
- SAM数据库;注册表文件
- %SYSTEMROOT%\repair\SAM
- %SYSTEMROOT%\System32\config\Regback\SAM
- 业务数据库,身份认证数据库
- 临时文件目录
- UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\
隐藏痕迹
Windows
- 禁止在登录界面显示新建账号
- reg add 添加注册表项
- del %WINDIR%*.log /a/s/q/f
- 禁止在登录界面显示新建账号
Linux
history
- history -c
- rm .bash_history&&touch .bash_history&&chattr +i .bash_history
/var/log/
- auth.log或secure (REH)
- btmp 或 wtmp 文件(命令:last或lastb)
- lastlog和faillog命令
其它日志和HIDS等
其它
Ubuntu网络更新源已经不可用,可以先mount安装光盘,此时/etc/apt/sources.list会自动添加光盘为更新源,此时再安装软件包,如果光盘中有就可以成功安装。
命令
scp
lsattr
chattr