EDRaser 是一款功能强大的工具,可用于远程删除远程计算机上的访问日志、Windows 事件日志、数据库和其他文件。它提供两种操作模式:自动和手动。
自动模式
在自动模式下,EDRaser 会扫描给定 IP 地址空间的 C 类以查找易受攻击的系统并自动攻击它们。自动模式下的攻击包括:
-
远程删除网络服务器日志。
-
SysLog 删除(在 Linux 上)。
-
本地删除 Windows 应用程序事件日志。
-
远程删除 Windows 事件日志。
-
VMX + VMDK 删除
要在自动模式下使用 EDRaser,请按照以下步骤操作:
python edraser.py --auto
手动模式
在手动模式下,您可以选择针对目标系统发起特定攻击,从而获得更大的控制权。请注意,某些攻击(例如 VMX 删除)仅适用于本地计算机。
要在手动模式下使用 EDRaser,您可以使用以下语法:
python edraser.py --ip <ip_addr> --attack <attack_name> [--sigfile <signature file>]
参数:
-
--ip
:扫描指定范围内的IP地址并攻击有漏洞的系统(默认:localhost)。 -
--sigfile
:使用指定的加密签名DB(默认值:signatures.db)。 -
--attack
:要执行的攻击。可用的攻击如下:['vmx'、'vmdk'、'windows_security_event_log_remote'、'windows_application_event_log_local'、'syslog'、'access_logs'、'remote_db'、'local_db'、'remote_db_webserver']
可选参数:
-
port
:远程机器的端口 -
db_username
:远程数据库的用户名。 -
db_password
:远程数据库的密码。 -
db_type
:数据库类型,EDRaser 支持mysql
,sqlite
。(#注意,对于 sqlite,不需要用户名密码) -
db_name
:要连接的远程数据库的名称 -
table_name
:要连接的远程表的名称 -
rpc_tools
:VMware rpc_tools 的路径
例子:
python edraser.py --attack windows_event_log --ip 192.168.1.133
python EDRaser.py -attack remote_db -db_type mysql -db_username test_user -db_password test_password -ip 192.168.1.10
可用攻击
在手动模式下,EDRaser 会显示可用攻击的列表。以下是每种攻击的简要说明:
-
Windows 事件日志:从远程目标系统删除 Windows 事件日志。
-
VMware 漏洞:删除主机上的 VMX 和 VMDK 文件。此攻击仅在 VMware 环境中的本地主机上通过修改 VMX 文件或直接写入 VMDK 文件进行。
-
Web 服务器日志:通过发送写入访问日志文件的恶意字符串用户代理,从目标系统上运行的 Web 服务器删除访问日志。
-
SysLogs:从运行 Kaspersky EDR 的 Linux 机器中删除系统日志。
-
数据库:从远程目标数据库中删除所有数据。
EDRaser
https:
//github.com/SafeBreach-Labs/EDRaser
原文始发于微信公众号(Ots安全):EDRaser 是一款功能强大的工具,可用于远程删除远程计算机上的访问日志、Windows 事件日志、数据库和其他文件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论