基本信息收集

• Linux

  • 查看信息	操作	备注
    DNS配置	/etc/resolv.conf	是否有机会DNS篡改，劫持
    用户账号	/etc/passwd
    用户密码	/etc/shadow
    当前用户	whoami
    所有登陆用户	who -a
    网卡信息	ifconfig -a
    防火墙设置	iptables -L -n
    路由表	netstat -rn
    操作系统信息	uname -a
    当前运行的进程	ps aux
    安装的软件包	dpkg -l

• Windows

  • 查看信息	操作	备注
    ip掩码网关等	ipconfig /all
    dns缓存	ipconfig /displaydns
    开放端口及可执行程序	netstat -bano
    路由表	netstat -r
    共享	net view
    共享	net view /domain
    域信息	net user /domain
    域信息	net usr %username% /domain
    密码策略	net accounts
    共享目录	net share
    操作：把用户加入管理员组	net localgroup administrators username /add
    域控制器主机	net group “Domain Controllers” /domain
    操作：开共享	net share name$=C:/unlimited
    操作：启动锁定账号	net user username /active:yes /domain

WMIC(Windows Management instrumentation)

• 被powershell的Get-WmiObject取代
• Get-WmiObject又被Get-CimInstance取代
• 了解下Get-CimInstance
• 功能示例：
  • 查看网络登陆记录
  • 查看当前进程，什么程序通过什么命令执行的进程
  • 结束一个进程
  • 查看操作系统安装的软件
  • 静默删除软件
  • 查看共享文件夹
  • 开启“允许远程桌面”

敏感信息收集

• 商业信息
• 系统信息
• Linux
  • /etc;/usr/local/etc
  • /etc/passed;/etc/shadow
  • .ssh;.gnupg 公私钥
  • 邮件和数据文件
  • 业务数据库,身份认证服务器数据库
  • /tmp
• Windows
  • SAM数据库；注册表文件
  • %SYSTEMROOT%\repair\SAM
  • %SYSTEMROOT%\System32\config\Regback\SAM
  • 业务数据库，身份认证数据库
  • 临时文件目录
    • UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

隐藏痕迹

• Windows

  • 禁止在登录界面显示新建账号
    • reg add 添加注册表项
  • del %WINDIR%*.log /a/s/q/f

• Linux

  • history

    • history -c
    • rm .bash_history&&touch .bash_history&&chattr +i .bash_history

  • /var/log/

    • auth.log或secure (REH)
    • btmp 或 wtmp 文件(命令：last或lastb)
    • lastlog和faillog命令

  • 其它日志和HIDS等

其它

Ubuntu网络更新源已经不可用，可以先mount安装光盘，此时/etc/apt/sources.list会自动添加光盘为更新源，此时再安装软件包，如果光盘中有就可以成功安装。

命令

scp

lsattr

chattr