Widows信息收集:
WMIC(Windows Management Instrumentation)
可以实现一下普通命令行无法实现的功能
wmic nicconfig get aipaddress, macaddress:显示IP 和MAC 地址
wmic computersystem get username:显示用户名
wmic netlogin get name, lastlogon:显示登录用户以及登录时间
wmic process get caption, executablepath, commandline:显示进程对应的程序
wmic process where name="calc.exe" call terminate:结束"calc.exe"进程
wmic os get name, servicepackmajorversion:查询主机版本以及所打的包
wmic product get name,version:查主机所安装软件和版本
wmic product where name="name" call unistall /nointeractive:无交互下删除"name"程序(悄悄地)
wmic share get /ALL:查看共享文件夹
wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1":开启远程桌面,如:/node:localhost 则开启本机远程桌面
wmic ntenetlog get path, filename, writeable:查看当前系统日志对应的文件
收集敏感数据:
商业信息
系统信息
Linux:
/etc; /usr/local/etc
/etc/password; /etc/shadow
~/.ssh/; ~/.gnupg/ 公私钥
The e-mail and data files
业务数据库; 身份认证服务器数据库
~/tmp 临时数据目录中隐私泄露
Windows:
SAM数据库; 注册表文件
%SYSTEMROOT%\repair\SAM:备份版本
%SYSTEMROOT%\System32\config\RegBack\SAM:备份版本
业务数据库; 身份认证数据库
临时文件目录
UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\