信息搜集

设备信息搜集

  • 版本信息

    • uname -a 所有版本

    • uname -r 内核版本信息

    • uname -n 系统主机名字

    • uname -m Linux内核架构

  • 内核信息 cat /proc/version

  • CPU信息 cat /proc/cpuinfo

  • 发布信息

    • cat /etc/*-release

    • cat /etc/issue

  • 主机名 hostname

  • 文件系统 df -a

  • 内核日志 dmesg / /var/log/dmesg

用户和组

  • 列出系统所有用户 cat /etc/passwd

  • 列出系统所有组 cat /etc/group

  • 列出所有用户hash(root)cat /etc/shadow

  • 用户

    • 查询用户的基本信息 finger

    • 当前登录的用户 users who -a /var/log/utmp

    • 查询无密码用户 grep 'x:0:' /etc/passwd

  • 目前登录的用户 w

  • 登入过的用户信息 last / /var/log/wtmp

  • 显示系统中所有用户最近一次登录信息 lastlog / /var/log/lastlog

  • 登录成功日志 /var/log/secure

  • 登录失败日志 /var/log/faillog

  • 查看特权用户 grep :0 /etc/passwd

  • 查看passwd最后修改时间 ls -l /etc/passwd

  • 查看是否存在空口令用户 awk -F: 'length($2)==0 {print $1}' /etc/shadow

  • 查看远程登录的账号 awk '/\$1|\$6/{print $1}' /etc/shadow

  • 查看具有sudo权限的用户

    • cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

6.5.3. 用户和权限信息

  • 当前用户 whoami

  • 当前用户信息 id

  • 可以使用sudo提升到root的用户(root) cat /etc/sudoers

  • 列出目前用户可执行与无法执行的指令 sudo -l

6.5.4. 环境信息

  • 打印系统环境信息 env

  • 打印系统环境信息 set

  • 环境变量中的路径信息 echo $PATH

  • 打印历史命令 history / ~/.bash_history

  • 显示当前路径 pwd

  • 显示默认系统遍历 cat /etc/profile

  • 显示可用的shell cat /etc/shells

6.5.5. 进程信息

  • 查看进程信息 ps aux

  • 资源占有情况 top -c

  • 查看进程关联文件 lsof -c $PID

  • 完整命令行信息 /proc/$PID/cmdline

  • 进程的命令名 /proc/$PID/comm

  • 进程当前工作目录的符号链接 /proc/$PID/cwd

  • 运行程序的符号链接 /proc/$PID/exe

  • 进程的环境变量 /proc/$PID/environ

  • 进程打开文件的情况 /proc/$PID/fd

6.5.6. 服务信息

  • 由inetd管理的服务列表 cat /etc/inetd.conf

  • 由xinetd管理的服务列表 cat /etc/xinetd.conf

  • nfs服务器的配置 cat /etc/exports

  • 邮件信息 /var/log/mailog

  • ssh配置 sshd_config

6.5.7. 计划任务

  • 显示指定用户的计划作业(root) crontab -l -u %user%

  • 计划任务

    • /var/spool/cron/*

    • /var/spool/anacron/*

    • /etc/crontab

    • /etc/anacrontab

    • /etc/cron.*

    • /etc/anacrontab

  • 开机启动项

    • /etc/rc.d/init.d/

6.5.8. 网络、路由和通信

  • 列出网络接口信息 /sbin/ifconfig -a / ip addr show

  • 列出网络接口信息 cat /etc/network/interfaces

  • 查看系统arp表 arp -a

  • 打印路由信息 route / ip ro show

  • 查看dns配置信息 cat /etc/resolv.conf

  • 打印本地端口开放信息 netstat -an

  • 列出iptable的配置规则 iptables -L

  • 查看端口服务映射 cat /etc/services

  • Hostname hostname -f

  • 查看进程端口情况 netstat -anltp | grep $PID

6.5.9. 已安装程序

  • rpm -qa --last Redhat

  • yum list | grep installed CentOS

  • ls -l /etc/yum.repos.d/

  • dpkg -l Debian

  • cat /etc/apt/sources.list Debian APT

  • pkg_info xBSD

  • pkginfo Solaris

  • pacman -Q Arch Linux

  • emerge Gentoo

6.5.10. 文件

  • 最近五天的文件 find / -ctime +1 -ctime -5

  • 文件系统细节 debugfs

6.5.11. 公私钥信息

  • ~/.ssh

  • /etc/ssh

6.5.12. 日志

  • /var/log/boot.log

  • /var/log/cron

  • /var/log/faillog

  • /var/log/lastlog

  • /var/log/messages

  • /var/log/secure

  • /var/log/syslog

  • /var/log/syslog

  • /var/log/wtmp

  • /var/log/wtmp

  • /var/run/utmp

6.5.13. 虚拟环境检测

  • lsmod | grep -i "vboxsf\|vboxguest"

  • lsmod | grep -i "vmw_baloon\|vmxnet"

  • lsmod | grep -i "xen-vbd\|xen-vnif"

  • lsmod | grep -i "virtio_pci\|virtio_net"

  • lsmod | grep -i "hv_vmbus\|hv_blkvsc\|hv_netvsc\|hv_utils\|hv_storvsc"

6.5.14. 容器内信息收集

  • capsh --print

  • cat /proc/1/cgroup

  • env | grep KUBE

  • ls -l .dockerenv

  • ls -l /run/secrets/Kubernetes.io/

  • mount

  • ps aux

上一页Linux 靶机下一页持久化

最后更新于