Hola, hoy os traigo comandos básicos y rutas para identificar una máquina Linux.
Sistema operativo, usuarios, grupos, sudoers, información de los logueos, configuraciones, información de red, archivos de log, archivos de shell.
Para que entendáis este tipo de comandos se utiliza en análisis forense, para recopilar información de lo que ha hecho un atacante o al revés tu como atacante recopilar información que ha hecho el admin, para ver procesos ejecutados por usuarios y grupos, programas o ejecuciones creadas y identificar como funciona el sistema.
TODAS LAS RUTAS QUE PONGO SE PUEDEN LEER CON "CAT" O "VIM" O CUALQUIER EDITOR O LECTOR DE FICHEROS
Todas las rutas podemos utilizar comandos como "cat /var/log/syslog | grep tusmu "
SISTEMA Y INFORMACIÓN DEL SISTEMA OPERATIVO
/etc/os-release (Información del Sistema operativo)
/etc/passwd (Información cuentas usuarios)
/etc/group (Información de grupos)
etc/sudoers (Lista de sudoers)
/var/log/wtmp (Información del logeo)
/var/log/auth.log (Logeos de autenticación)
ARCHIVOS DE LOG
/var/log/syslog
/var/log/auth.log
/var/log (logeo de terceras partes)
EJECUCIÓN DE COMANDOS
/var/log/auth.log* | grep -i COMANDO;
/home/<usuario>/.bash_history (historial bash)
/home/<usuario>/.viminfo (historial vim)
PERSISTENCIA
/etc/crontab (tareas cron)
/etc/init.d (servicios)
/home/<usuario>/.bashrc
CONFIGURACIÓN DEL SISTEMA
/etc/hostname
/etc/timezone
/etc/network/interfaces - ip addr show (interfaces de red)
netstat -natp (conexiones abiertas)
ps aux (procesos en ejecucion) también "ps aux | grep root"
/etc/hosts (DNS)
SCRIPTS AUTOMATICOS QUE ENUMERAN EL SISTEMA
github.com
github.com
KEYS PRIVADAS
cat ~/.ssh/authorized_keys
cat ~/.ssh/identity.pub
cat ~/.ssh/identity
cat ~/.ssh/id_rsa.pub
cat ~/.ssh/id_rsa
cat ~/.ssh/id_dsa.pub
cat ~/.ssh/id_dsa
cat /etc/ssh/ssh_config
cat /etc/ssh/sshd_config
cat /etc/ssh/ssh_host_dsa_key.pub
cat /etc/ssh/ssh_host_dsa_key
cat /etc/ssh/ssh_host_rsa_key.pub
cat /etc/ssh/ssh_host_rsa_key
cat /etc/ssh/ssh_host_key.pub
cat /etc/ssh/ssh_host_key
FINDS
find / -perm -1000 -type d 2>/dev/null
find / -perm -g=s -type f 2>/dev/null
find / -perm -g=s -o -perm -u=s -type f 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
PARA MÁS, UN LIKE QUE OS LO DOY TO GRATIS CABRONES.
Sistema operativo, usuarios, grupos, sudoers, información de los logueos, configuraciones, información de red, archivos de log, archivos de shell.
Para que entendáis este tipo de comandos se utiliza en análisis forense, para recopilar información de lo que ha hecho un atacante o al revés tu como atacante recopilar información que ha hecho el admin, para ver procesos ejecutados por usuarios y grupos, programas o ejecuciones creadas y identificar como funciona el sistema.
TODAS LAS RUTAS QUE PONGO SE PUEDEN LEER CON "CAT" O "VIM" O CUALQUIER EDITOR O LECTOR DE FICHEROS
Todas las rutas podemos utilizar comandos como "cat /var/log/syslog | grep tusmu "
SISTEMA Y INFORMACIÓN DEL SISTEMA OPERATIVO
/etc/os-release (Información del Sistema operativo)
/etc/passwd (Información cuentas usuarios)
/etc/group (Información de grupos)
etc/sudoers (Lista de sudoers)
/var/log/wtmp (Información del logeo)
/var/log/auth.log (Logeos de autenticación)
ARCHIVOS DE LOG
/var/log/syslog
/var/log/auth.log
/var/log (logeo de terceras partes)
EJECUCIÓN DE COMANDOS
/var/log/auth.log* | grep -i COMANDO;
/home/<usuario>/.bash_history (historial bash)
/home/<usuario>/.viminfo (historial vim)
PERSISTENCIA
/etc/crontab (tareas cron)
/etc/init.d (servicios)
/home/<usuario>/.bashrc
CONFIGURACIÓN DEL SISTEMA
/etc/hostname
/etc/timezone
/etc/network/interfaces - ip addr show (interfaces de red)
netstat -natp (conexiones abiertas)
ps aux (procesos en ejecucion) también "ps aux | grep root"
/etc/hosts (DNS)
SCRIPTS AUTOMATICOS QUE ENUMERAN EL SISTEMA
GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks
Scripted Local Linux Enumeration & Privilege Escalation Checks - rebootuser/LinEnum
github.com
linpostexp/linprivchecker.py at master · reider-roque/linpostexp
Linux post exploitation enumeration and exploit checking tools - reider-roque/linpostexp
github.com
KEYS PRIVADAS
cat ~/.ssh/authorized_keys
cat ~/.ssh/identity.pub
cat ~/.ssh/identity
cat ~/.ssh/id_rsa.pub
cat ~/.ssh/id_rsa
cat ~/.ssh/id_dsa.pub
cat ~/.ssh/id_dsa
cat /etc/ssh/ssh_config
cat /etc/ssh/sshd_config
cat /etc/ssh/ssh_host_dsa_key.pub
cat /etc/ssh/ssh_host_dsa_key
cat /etc/ssh/ssh_host_rsa_key.pub
cat /etc/ssh/ssh_host_rsa_key
cat /etc/ssh/ssh_host_key.pub
cat /etc/ssh/ssh_host_key
FINDS
find / -perm -1000 -type d 2>/dev/null
find / -perm -g=s -type f 2>/dev/null
find / -perm -g=s -o -perm -u=s -type f 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
PARA MÁS, UN LIKE QUE OS LO DOY TO GRATIS CABRONES.
