红队渗透-window痕迹清除

最新推荐文章于 2024-06-05 15:18:56 发布

鲁班26号

最新推荐文章于 2024-06-05 15:18:56 发布

阅读量2.2k

点赞数 1

分类专栏： 2021-MS08067红队基础培训文章标签： windows 安全 web安全

本文链接：https://blog.csdn.net/EdisonJH/article/details/124801837

版权

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

文章目录

前言
一、windows操作系统基础入门
二、windows渗透痕迹清除
- 1.为避免入侵操作行为被发现时，攻击者往往通过各种方式来隐藏自己操作痕迹，比如：删除日志、隐藏后门、日志伪造。

前言

我们在做痕迹清理时，一定要对windows的基础理论，基础知识点明确于心，废话不多说，接下来开始学习。

记录MS08068学习红队三期windows痕迹清除
1、windows用户基础入门
2、windows用户命令入门
3、windows渗透痕迹清除

一、windows操作系统基础入门

1、了解windows用户
2、了解windows用户组
3、了解用户的权限划分
百度脑图：

https://naotu.baidu.com/file/80a2365213702de526fd9a988c91f572

二、windows渗透痕迹清除

1.为避免入侵操作行为被发现时，攻击者往往通过各种方式来隐藏自己操作痕迹，比如：删除日志、隐藏后门、日志伪造。

01、windows日志清除在哪？如何清除？：
window日志路径一般在如下几个地方：
备注：主机日志路径

系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx
安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx
日志在注册表的键：HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog

清除方法：
(1) 全部清除，容易被发现
方法一：cmd命令输入：eventvwr 打开事件管理器，如图，点击一键删除clear loading
在这里插入图片描述
方法二：通过命令删除：

cmd环境：

PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"   
PowerShell -Command "& {Get-WinEvent -ListLog Application,System,Security -Force | % {Wevtutil.exe cl $_.Logname}}"

powershell环境：

Clear-Eventlog -Log Application,System,Security
Get-WinEvent -ListLog Application,System,Security -Force | % {
   Wevtutil.exe cl $_.Logname}

（2）定向清除
（1）停止日志服务
方法一：工具实现
在我们清除日志的动作期间，这个清除动作已经被计算机记录，所有首先要停止日志记录，借助第三方工具：原理：定位并杀掉日志服务的相关进程，而对其应的svchost.exe进程并没有被杀掉，所以日志几率服务器看起来是正常运行。

项目地址：https://github.com/hlldz/Phant0m

工具老版本是用powershell写的，执行命令powershell -File Invoke-Phant0m，如果提示脚本文件无法执行，则可能是由于执行策略限制，通过命令修改执行策略即可（管理员权限）：
在这里插入图片描述
新版本需要自己编译生成可执行文件，原理在于定位并杀死日志服务运行线程，工具提供了两种定位日志服务线程的方法，在编译时要注意选择下。注意待日志清除后要恢复日志服务，命令是net start evevtlog。
方法二：手动实现
首先利用ps命令找出日志记录服务器（eventlog）对应的进程PID，Get-WmiObject或Get-CimInstance命令都可以：
在这里插入图片描述
运行结果中可以看出eventlog服务对应的PID都是1736，然后利用工具找出pid=1706的进程：（此处利用的工具为process）

选择该scvhost.exe，点选右键->属性->线程，找出服务为eventlog的线程TID、如图：依次选择Kill这些线程，注意Suspend是不行的：
在这里插入图片描述
这样日志服务实际上就关闭了，但由于只是杀掉了其进程下运行的线程，而进程仍然存在，所以服务看起来是没有异样的，这和方法一中用工具实现的原理是相同的。
恢复正常：需要恢复日志记录服务时，在进程列表界面选择该scvhost.exe，点选右键->重新启动（restart），然后运行命令net start eventlog就可以了。
在这里插入图片描述

2、删除日志
一般我们获取shell时，在做敏感操作的时候，需要借助第三方工具清除单独日志，以下的工具就是奇安信工具，根据EventRecordID删除单挑日志功能。

项目地址：https://github.com/QAX-A-Team/EventCleaner

使用方法：

EventCleaner suspend      # 暂停日志进程，停止日志记录

EventCleaner normal       # 恢复日志进程

EventCleaner closehandle  # 解除security.evtx的文件占坑

EventCleaner 100

2、应用日志
在删改windows安装的应用程序的日志相对简单，应为定位其中路径后就可以手动进行修改：总结三部曲。
1、找到应用程序的日志路径，
2、停止其响应服务。
3、对日志内容进行修改
在这里插入图片描述停止服务的命令一般用net stop即可，如net stop “World Wide Publishing Service”，删除命令用Shift + Delete或cmd命令del。

（二）搜索&链接
获取shell后一般我们的操作会需要远程桌面链接，远程桌面链接会使我们留下痕迹
1、远程桌面记录
（1）删除缓存
缓存文件默认一般为：C:\Users\Administrator\Documents\Default.rdp ，已隐藏，可

最低0.47元/天解锁文章

鲁班26号

关注

1
点赞
踩
21

收藏

觉得还不错? 一键收藏
0
评论
红队渗透-window痕迹清除

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档文章目录前言一、windows操作系统基础入门二、windows渗透痕迹清除1.为避免入侵操作行为被发现时，攻击者往往通过各种方式来隐藏自己操作痕迹，比如：删除日志、隐藏后门、日志伪造。前言我们在做痕迹清理时，一定要对windows的基础理论，基础知识点明确于心，废话不多说，接下来开始学习。记录MS08068学习红队三期windows痕迹清除1、windows用户基础入门2、windows用户命令入门3、windows渗透痕.
复制链接

扫一扫