avatar

目录
系统信息发现

ATT&CK矩阵-发现-系统信息发现

[TOC]

简介

攻击者可通过获取相关操作系统的硬件的详细,包括不限于补丁、程序、版本等,攻击者可通过所获取的信息进行下一步攻击操作。

测试用例

Windows

  1. ver获取系统信息

  2. systeminfo获取系统硬件信息包括补丁信息

    查看补丁信息

提权工具与补丁对比

也可通过Windows自带的系统工具(控制面板-系统和安全-管理工具)进行查看

MacOs

  1. systemsetup提供了系统的详细分类,但需要管理特权

    输入man systemsetup可查看相关用法

    1. system_profiler无需配置权限即可查看防火墙规则、已安装的卷、硬件等其他详细内容

    2. 可采用Mac系统自带的系统信息软件

Metasploit

利用已知模块

  1. 启动msf,搜索smv_version模块

  2. 使用该模块

  3. 获取主机系统为Windows 7 Professional SP1

    Meterpreter

  4. sysinfo 获取基础信息

  1. run scraper 获取常见信息

  2. run post/windows/gather/enum_applications 获取软件信息

  3. run post/windows/gather/dumplinks 获取最近的文件操作,这里没进行操作

  4. run post/windows/gather/enum_chrome 获取Chrome缓存信息

Nmap

  1. nmap -O 10.211.55.3 获取目标系统信息

    配合-A选项可获取更详细信息

  1. nmap --osscan-limit 10.211.55.3 对目标系统进行检测,该选项仅对使用-O或者-A进行使用

  1. nmap对系统识别有时候不一定准确,当无法准确识别时候,可以用--osscan-guess

Google Cloud Platform(GCP)

参考GCP手册

Amazon Web Services (AWS)

参考AWS手册

缓解措施

基于系统基础功能,暂无缓解措施

侦测检查

  1. 部署主机安全设备,监视进程和命令行参数可以了解攻击者采取哪些措施收集了系统和网络信息,也可以通过Windows系统工具去获取信息

  2. 基于云系统,严格控制管理员权限的分配

文章作者: 夜莺
文章链接: https://www.shallowdream.cn/posts/61301.html
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 夜莺