title: 系统信息发现
tags:

ATT&CK矩阵-发现-系统信息发现

简介

攻击者可通过获取相关操作系统的硬件的详细,包括不限于补丁、程序、版本等,攻击者可通过所获取的信息进行下一步攻击操作。

测试用例

Windows

  1. ver获取系统信息
    系统信息发现 - 图1
  1. systeminfo获取系统硬件信息包括补丁信息
    系统信息发现 - 图2

查看补丁信息
系统信息发现 - 图3
提权工具与补丁对比
系统信息发现 - 图4
也可通过Windows自带的系统工具(控制面板-系统和安全-管理工具)进行查看
系统信息发现 - 图5
系统信息发现 - 图6

MacOs

  1. systemsetup提供了系统的详细分类,但需要管理特权
    系统信息发现 - 图7
    输入man systemsetup可查看相关用法

  2. system_profiler无需配置权限即可查看防火墙规则、已安装的卷、硬件等其他详细内容
    系统信息发现 - 图8

  1. 可采用Mac系统自带的系统信息软件

系统信息发现 - 图9

Metasploit

利用已知模块

  1. 启动msf,搜索smv_version模块
  1. 使用该模块
    系统信息发现 - 图10
  1. 获取主机系统为Windows 7 Professional SP1
    系统信息发现 - 图11
    Meterpreter
  1. sysinfo 获取基础信息

系统信息发现 - 图12

  1. run scraper 获取常见信息
    系统信息发现 - 图13
  1. run post/windows/gather/enum_applications 获取软件信息
    系统信息发现 - 图14
  1. run post/windows/gather/dumplinks 获取最近的文件操作,这里没进行操作
    系统信息发现 - 图15
  1. run post/windows/gather/enum_chrome 获取Chrome缓存信息

系统信息发现 - 图16
系统信息发现 - 图17

Nmap

  1. nmap -O 10.211.55.3 获取目标系统信息
    配合-A选项可获取更详细信息

系统信息发现 - 图18

  1. nmap --osscan-limit 10.211.55.3 对目标系统进行检测,该选项仅对使用-O或者-A进行使用

系统信息发现 - 图19

  1. nmap对系统识别有时候不一定准确,当无法准确识别时候,可以用--osscan-guess

系统信息发现 - 图20

Google Cloud Platform(GCP)

参考GCP手册

Amazon Web Services (AWS)

参考AWS手册

缓解措施

基于系统基础功能,暂无缓解措施

侦测检查

  1. 部署主机安全设备,监视进程和命令行参数可以了解攻击者采取哪些措施收集了系统和网络信息,也可以通过Windows系统工具去获取信息
  1. 基于云系统,严格控制管理员权限的分配