收集信息

linux

/etc 目录下有大量的系统配置文件

/etc/resolv.conf DNS配置，看有没有机会做DNS篡改

/etc/passwd

/etc/shadow 获取加密后的密码，可以通过暴力破解获取加密前的密码

.ssh .group 存放公私秘钥，通常隐藏在目录下，ls -la可以查看到

/tmp 存放临时数据

whoami 查看当前用户

who -a 查看所有用户

ipconfig -a iptables -L -n 防火墙，netstat -rn 查看网关，路由设置，查看是否有其他网段。

uname -a 查看当前的操作系统版本

ps aux 查看进程

dpkg -l | head 把当前系统所有安装的软件包显示出来

 

windows

SAM 数据库；注册表文件

%SYSTEMROOT%\repair\SAM

%SYSTEMROOT%\System32\config\RegBack\SAM

业务数据库；身份认证数据库

临时文件目录UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

ipconfig /all ipconfig /displapdns

net view，net view /domain

net user /domain，net user %username% /domain

net accounts, net share

net localgroup administrators username /add

net group "Domain Controllers" /domain

net share name$=C:\ /unilimited 设置共享目录

net user username /active:yes /domain 启动锁定了的用户

 

WMIC(WINDOWS MANAGEMENT INSTRUMENTATION) windows管理框架，设置可以查看底层的信息比如bios

wmic nicconfig get ipaddress,macaddress 查看ip和mac

wmic computersystem get username 

wmic netlogin get name,lastlogon 查看当前登录用户以及登录时间

wmic process get caption ,executablepath,commandline 查看当前系统进程是使用哪些命令打开

wmic process where name="name.exe" call terminate 结束一个进程,name.exe是你想结束的进程名

wmic os get name,servicepackmajorversion 提取servicepack版本

wmic product get name,version 查看当前系统安装哪些软件

wmic product where name="name" call uninstall /nointeractive 删除软件后台删，name是你想删除的软件名

wmic share get /ALL

wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1" 开启远程桌面，machinename是你想开启的机器，如果是本机设置为localhost

wmic nteventlog get path,filename, writeable