linux后渗透信息收集
后渗透思路
查看系统中重要的目录与文件
/etc/resolv.conf #dns配置
/etc/passwd #存放用户账号
/etc/shadow #存放用户密码
/tmp #部分软件的临时安装包等
/usr/local/etc #存放某些程序的配置文件
各种 以 . 开头命名的文件,一般都是隐藏的
日志文件相关可查看这篇博客,linux日志相关。
收集当前用户信息网络配置和访问历史记录与操作记录等。
whoami #收集当前用户信息
uid #查看uid确定权限
history #查看命令历史记录
history -c #删除命令历史记录
ps aux #查看当前运行的程序
who -a #用户登陆时间
iptables -L -n #查看防火墙设置
uname -a #查看内核版本
查看目标主机上有哪些工具可用nc curl ftp gcc iptables nmap ssh telnet tftp wget sftp等
举个例子:ls /usr/bin/ | grep ^nc$
^与$为正则表达式的便捷符号,代表开始跟结尾。
看网络配置 ifconfig,查看dns缓存 /etc/resolv.conf,扫子网
查 arp 大概看看内网中的主机可能有哪些
查看网关 route -n
查看网关 route -n
netstat -rn #查看当前系统网关跟路由设置
检查主机上的tcp/udp连接
netstat -antu
查看命令使用记录 locate .bash_history 接着用cat命令挨个查看
查看自动执行文件(定时)cat /etc/crontab
查看系统登陆用户以及之前登陆用户,命令分别为w,last,lastlog
last
显示用户最近登陆情况
w
显示当前登陆用户的列表
lastlog
lastlog命令用于显示系统中所有用户最近一次登录信息。