渗透过程中对痕迹清理的几点记录

0x00 前言


在渗透测试过程中,Windows日志往往会记录系统上的敏感操作,如添加用户,远程登录执行等。

对于一次完整的渗透测试,通常会选择对Windows日志进行清除和绕过,而对于防御者来说,了解常用的绕过方法也有助于更好的保护自己的系统。

所以本文将要介绍常见的Windows日志清除与绕过方法,分享经验,帮助大家。

0x01 工具推荐


  • 3389登陆记录清除
@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit

Invoke-Phant0m.jpeg
Windwos-EventLog-Bypass

  • Windows日志清除
    1.获取日志分类列表:

wevtutil el >1.txt

2.获取单个日志类别的统计信息: eg.

wevtutil gli "windows powershell"

3.回显:

creationTime: 2016-11-28T06:01:37.986Z

lastAccessTime: 2016-11-28T06:01:37.986Z
lastWriteTime: 2017-08-08T08:01:20.979Z
fileSize: 1118208
attributes: 32
numberOfLogRecords: 1228
oldestRecordNumber: 1

4.查看指定日志的具体内容:

wevtutil qe /f:text "windows powershell"

5.删除单个日志类别的所有信息:

wevtutil cl "windows powershell"

详细windows日志清除请查阅此篇文章:渗透技巧——Windows日志的删除与绕过

部分转载文章来自:3gstudent大佬 渗透技巧——Windows日志的删除与绕过

本文经授权后发布,本文观点不代表立场,转载请联系原作者。
-- 展开阅读全文 --
C#窗体程序增加全选与勾选的数据获取
« 上一篇 07-12
树莓派扫描WiFi出现问题解决办法
下一篇 » 07-19

发表评论