linux下的信息收集

基础信息收集

1. 查看系统类型

cat /etc/issue
cat /etc/*-release
cat /etc/lsb-release
cat /etc/redhat-release

2. 内核版本

cat /proc/version
uname -a
uname -mrs
rpm -q kernel
dmesg |grep Linux
ls /boot | grep vmlinuz

3. 进程与服务

ps aux
ps -ef
top
cat /etc/service

4. 安装的应用程序

dpkg -l
rpm -qa

计划任务

crontab -l
ls -alh /var/spool/cron
ls -al /etc/ | grep cron
ls -al /etc/cron*
cat /etc/at.allow
cat /etc/at.deny
cat /etc/cron.allow
cat /etc/cron.deny
cat /etc/crontab
cat /etc/anacrontab
cat /var/spool/cron/crontabs/root

网络配置

cat /etc/network/interfaces
      /etc/sysconfig/network
      /etc/resolv.conf
      /etc/sysconfig/network
      /etc/networks
 iptables -L
 hostname
 dnsdomainname

网络通信

netsstat -antup
netstat -antpx
netstat -tulpn
arp -e
route

用户信息

id
who
w
last
cat ~/.bash_history
          nano_history
          atftp_history
          mysql_history
          php_history

设置不记录：unset HISFILE

日志信息

/etc/httpd/logs/*
/var/log/*
/var/run/utmp

可能用于提权的程序

查找有suid位或sgid为的程序

 find / -perm -g=s -o -perm -u=s -type f 2 > /dev/null

查找能写或进入的目录

  find / -writable -type d 2>/dev/null
    find / -perm -o+w -type d 2>/dev/null
    find / -perm -o+x -type d 2>/dev/null

凭证收集

/etc/passwd
账户名称
密码字段，其中：
x代表密码存储在shadow中；
无值代表空口令
!或!!代表无法登录
此字段也可以存储密码密文
SID

/etc/shadow
账号名称
密码字段，其中:
俩$之间的
1表明使用MD5加密的
2表明是用Blowfish加密的
5表明是用SHA-256加密的
6表明使用SHA-512加密的
由于有sait值存在，只能采用hash碰撞的方式

使用工具

                   **hashcat
                   John the Ripper**