渗透过程中对痕迹清理的几点记录
0x00 前言
在渗透测试过程中,Windows日志往往会记录系统上的敏感操作,如添加用户,远程登录执行等。
对于一次完整的渗透测试,通常会选择对Windows日志进行清除和绕过,而对于防御者来说,了解常用的绕过方法也有助于更好的保护自己的系统。
所以本文将要介绍常见的Windows日志清除与绕过方法,分享经验,帮助大家。
0x01 工具推荐
- 3389登陆记录清除
@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit
- 破坏Windows日志记录功能
Invoke-Phant0m
- Windows日志清除
1.获取日志分类列表:
wevtutil el >1.txt
2.获取单个日志类别的统计信息: eg.
wevtutil gli "windows powershell"
3.回显:
creationTime: 2016-11-28T06:01:37.986Z
lastAccessTime: 2016-11-28T06:01:37.986Z
lastWriteTime: 2017-08-08T08:01:20.979Z
fileSize: 1118208
attributes: 32
numberOfLogRecords: 1228
oldestRecordNumber: 1
4.查看指定日志的具体内容:
wevtutil qe /f:text "windows powershell"
5.删除单个日志类别的所有信息:
wevtutil cl "windows powershell"
详细windows日志清除请查阅此篇文章:渗透技巧——Windows日志的删除与绕过
部分转载文章来自:3gstudent大佬 渗透技巧——Windows日志的删除与绕过
本文经授权后发布,本文观点不代表立场
-- 展开阅读全文 --