0x00:前言

上篇,我们简单的谈了一下 Windows 系统的信息收集,接下来我们来了解Linux,需要收集到什么信息。

0x01:查询用户和权限信息

(1)查看当前用户及权限:

  1. whoami    #查看当前用户
  2. who       #查看登陆的用户

image.png
image.png

(2)查看当前主机名:

  1. hostname   # 查看当前主机名

image.png

(3)查看本机的用户:

Linux 系统中用户信息存放在 /etc/passwd 文件中。它保存用户的有用信息,如用户名、密码、用户 ID、群组 ID、用户 ID 信息、用户的家目录和 Shell 。

/etc/passwd 文件将每个用户的详细信息写为一行,其中包含七个字段,每个字段之间用冒号 : 分隔:

  1. cat  /etc/passwd

image.png

(4)显示用户id和组id信息:

  1. id root

image.png

(5)查看用户的密码信息:

/etc/shadow 文件,用于存储 Linux 系统中用户的密码信息,又称为“影子文件”

同 /etc/passwd 文件一样,文件中每行代表一个用户,同样使用 “:” 作为分隔符,不同之处在于,每行用户信息被划分为 9 个字段。

每个字段的含义如下:用户名:加密密码:最后一次修改时间:最小修改时间间隔:密码有效期:密码需要变更前的警告天数:密码过期后的宽限时间:账号失效时间:保留字段

  1. cat  /etc/shadow

image.png

(6)查看用户的登陆时间:

  1. lslogins -u

image.png
以下是上述输出的详细信息:

  • UID: 用户 id
  • USER: 用户名
  • PWD-LOCK: 密码已设置,但是已锁定
  • PWD-DENY: 登录密码是否禁用
  • LAST-LOGIN: 上次登录日期
  • GECOS: 有关用户的其它信息

(7)查看所有用户最近一次登录历史 :

  1. lastlog   # 显示系统中用户最近一次登陆信息
  2. lastlog -u  用户名  # 显示指定用户最后一次登陆的信息

image.png

0x02:获取主机的网络配置信息

(1)查看IP信息::

  1. ifconfig  # 查看IP信息,可以用来判断是否有域,或者是否存在双网卡

image.png

(2)查看内网有价值的arp通信记录:

  1. arp -a# 查看内网有价值的arp通信记录

image.png

(3) 查看路由表:

  1. route         # 查看路由表

image.png

(4)查看本地的dns

  1. cat   /etc/resolv.conf

image.png

(5)查看本地端口开放信息:

  1. netstat  -an

image.png

(6)列出iptables的配置规则:

  1. iptables -L

image.png

(7)查看端口服务映射:

  1. cat   /etc/services

image.png

0x03:获取主机的内核、操作系统和设备信息:

(1)查看操作系统的相关信息:

  1. uname  -a    #全部显示
  2. uname  -r    # 获取内核版本信息
  3. uname  -n    # 系统主机名字
  4. uname  -m    #  Linux系统架构

(2)查看系统内核信息:

  1. cat  /proc/version

(3)查看系统安装时默认的发行版本信息:

  1. cat   /etc/*-release

image.png

0x04:获取主机的软件信息:

(1)查看安装的软件:

  1. dpkg  -l  Debian
  2. rpm   -qa  redhat

image.png

(2)查看sudo的版本信息:

  1. sudo  -V

image.png

(3)查看apache的版本信息:

  1. httpd  -v
  2. apache2  -v

image.png

(4)查看mysql的版本信息:

  1. mysql  --version

image.png

(5)查看Postgres数据的版本信息:

  1. psql  -V

(6)查看 Prel的版本信息:

  1. perl -v

image.png

0x05:获取主机的环境信息:

(1)打印系统环境信息:

  1. env

image.png

(2)环境变量中的路径信息:

  1. echo  $PATH

image.png

(3)打印历史命令:

  1. history /  ~/.bash_history

image.png

(4)显示可用的shell :

  1. cat /etc/shells

image.png

0x06:获取主机的定时计划和进程信息:

(1)查看进程信息:

  1. ps aux

image.png

(2)资源占有情况:

  1. top -c

image.png

(3)显示指定用户的计划作业:

  1. crontab -l # 查看定时计划任务
  3. /var/spool/cron/*
  4. /var/spool/anacron/*
  5. /etc/crontab
  6. /etc/anacrontab
  7. /etc/cron.*
  8. /etc/anacrontab
  10. 计划任务
  11. /etc/rc.d/init.d/

image.png

0x07:获取主机的日志:

因为目录/var/log 是保存主机日志的地方,我们可以选择合适的日志,查看对应的记录。

  1. /var/log/boot.log
  2. /var/log/cron
  3. /var/log/faillog
  4. /var/log/lastlog
  5. /var/log/messages
  6. /var/log/secure
  7. /var/log/syslog
  8. /var/log/syslog
  9. /var/log/wtmp
  10. /var/log/wtmp
  11. /var/run/utmp