本文将一些在系统上收集信息的方法进行小的整合,有更多的好的方法技巧的话会做新的笔记。
Windows:
查看网络配置:
ipconfig /all
查看dns缓存信息:
ipconfig /displaydns
查看路由信息:
netstat -bnao,netstat -r
查看网络共享信息:
net view,net view /domain
查看域账号信息:
net user /doamin,net user %username% /domain
查看开了哪些共享:
net acounts,net share
把username用户加入到管理员组中:
net localgroup administrator username /add
查看Domain Controllers组里的所有主机账号:
net group “Domain Controllers” /domain
开启C盘根目录共享:
net share name$=C:\ /unlimited
启动锁定的账号:
net user username /active:yes /domain
一些敏感信息:
SAM数据库,注册表文件
需要关注的路径文件:
%SYSTEMROOT%\repair\SAM
%SYSTEMROOT%\System32\config\RegBack\SAM
业务数据库,身份认证服务器数据库
临时文件目录:
UserProfile\AppDara\Local\Microsoft\Windows\Temporary Internet Files\
icacls:
查看Windows中exe文件的权限并保存为一个名为a的文件:
icacls c:\windows\*.exe /save a /T
T参数指定该目录的所有子目录下符合条件的文件都查找到
查找配置不当的文件,关键看有没有FA;;;BU,下面只是举例:
WMIC:
一个不错的方便收集信息Windows工具。
查看IP、Mac地址:
wmic nicconfig get ipaddress,macaddress
查看当前登录账号:
wmic computersystem get username
查看用户登录记录:
wmic netlogin get name,lastlogon
查看当前进程由什么命令执行起来的:
wmic process get caption,executablepath,commandline
结束一个a名称的进程:
wmic process where name=”a.exe” call terminate
查看系统名字和版本:
wmic os get name,servicepackmajorversion
查看当前操作系统安装的软件:
wmic product get name,version
删除a名称的软件:
wmic product where name=”a” call uninstall /nointeractive
查看共享文件夹:
wmic share get /ALL
开启远程桌面:
wmic /node:”machinename” path Win32_TerminalServiceSetting where AllowTSConnectings=”0” call SetAllowTSConnections “1”
查看系统日志对应的系统文件:
wmic nteventlog get path,filename,writeable
Linux:
查找:
find / -perm 777 -exec ls -l {} \;
/为根目录;777为权限值,即所有权限都有;{}表示将前面find的结果用-exec后面的命令来执行;最后结尾必须用\;结束
查看DNS配置:
/etc/resolv.conf
查看用户账号:
/etc/passwd
查看用户密码:
/etc/shadow
查看当前用户和有哪些用户登录:
whoami,who -a
查看当前网络配置:
ifconfig -a
查看防火墙设置:
iptables -L -n
查看当前网管和路由设置:
netatat -rn
查看系统版本:
uname -a
查看进程:
ps aux
查看安装的软件包:
dpkg -l | head
一些敏感信息的路径和文件:
/etc,/usr/local/etc
/etc/passwd,/etc/shadow
.ssh,.gnupg
/tmp
业务数据库,身份认证服务器数据库