渗透中关于痕迹清理汇总
0x01 前言
在进行渗透测试中为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。对于一次完整的渗透测试,通常会选择对Windows日志进行清除和绕过,而对于防御者来说,了解常用的绕过方法也有助于更好的保护自己的系统。
下面就是纸飞机安全总结的一些、欢迎补充
0x02 windows日志清理
- wevtutil.exe
获取日志信息:
wevtutil.exe gli Application
删除该日志所有信息:
wevtutil cl Application
- 破坏Windows日志记录功能
利用工具:
Invoke-Phant0m
Windwos-EventLog-Bypass
若是在MSF内可以使用如下语句进行:
run clearlogs
clearev
- 自编写BAT脚本3389登陆记录清除
@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit
本文经授权后发布,本文观点不代表立场
-- 展开阅读全文 --