渗透技巧——Windows日志的删除与绕过

最新推荐文章于 2023-12-07 15:44:31 发布
最新推荐文章于 2023-12-07 15:44:31 发布
阅读量1.4k 收藏 11
点赞数 1
文章标签: 操作系统 c/c++
原文链接:https://yq.aliyun.com/articles/216944
版权
本文详细介绍了在渗透测试中如何清除和绕过Windows日志,包括使用wevtutil.exe和NSA DanderSpiritz工具的清除方法,以及通过终止特定线程来绕过日志记录的两种技术。同时,文中提到了sysmon扩展和绕过Windows PowerShell日志的可能性。
摘要由CSDN通过智能技术生成
本文讲的是 渗透技巧——Windows日志的删除与绕过
0x00 前言

在渗透测试过程中,Windows日志往往会记录系统上的敏感操作,如添加用户,远程登录执行等。

对于一次完整的渗透测试,通常会选择对Windows日志进行清除和绕过,而对于防御者来说,了解常用的绕过方法也有助于更好的保护自己的系统。

所以本文将要介绍常见的Windows日志清除与绕过方法,分享经验,帮助大家。

0x01 简介

本文将要介绍以下内容:

Windows日志的常用清除方法

Windows日志的两种绕过方法

0x02 Windows日志

Windows日志包括五个类别:

应用程序
安全
Setup
系统
转发事件

查看方式:

1、通过面板

位置如下:

Control PanelSystem and Security-View event logs-Windows Logs

如下图

渗透技巧Windows日志的删除与绕过

2、通过Powershell

常用命令如下:

(管理员权限)

查看所有日志:

Get-WinEvent

查看应用程序类别下的日志:

Get-WinEvent -FilterHashtable @{logname="Application";}

0x03 Windows日志的常用清除方法

1、wevtutil.exe

操作系统默认包含,支持系统:Win7及以上

常用命令如下:

(1) 统计日志列表,查询所有日志信息,包含时间,数目




                

        

        




    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  weixin_34160277
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
WEB渗透学习笔记7——webshell及上传绕过

				
			

			

				

					林林木林林L的博客
				

				

					08-01
					
					3354
					
				

			

		

		

			
				
webshell 概念
web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,WebShell是一种用来进行网站和服务器管理的脚本程序,webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的),通常被黑客利用,黑客通过一些上传方式,将自己编写的webshell上传到web服务器的页面的目录下,攻击者通过上传WebShell获得Web服

			
		

	



                

              
                



	

		

			

				
					
Windows日志清除工具

				
			

			

				

					10-29
				

			

		

		

			
				
可以备份、清除Windows日志,使用自定义的大量垃圾信息覆盖现有日志

			
		

	



                


  
              

                


	

		

			

				
					
清除入侵日志工具

				
			

			

				

					08-18
				

			

		

		

			
				
清除入侵日志工具

			
		

	





	

		

			

				
					
【红队战术】系统日志清除篇

				
			

			

				

					黑剑
				

				

					07-24
					
					2185
					
				

			

		

		

			
				
攻击者可能会清除Windows事件日志以隐藏入侵活动。Windows事件日志是计算机警报和通知的记录。系统定义的事件源共有三种:系统、应用程序和安全性,并具有五种事件类型:错误、警告、信息、成功审核和失败审核。

			
		

	



		

			
		



	

		

			

				
					
Windows 入侵痕迹清理技巧

				
			

			

				

					KHOST的博客
				

				

					09-21
					
					1198
					
				

			

		

		

			
				
文章来源:Bypass


为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。

01、Windows日志清除

windows 日志路径:






	
	
	
	

系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx应用程序日志:...

			
		

	





	

		

			

				
					
Windows系统冗余log的清理bat脚本

				
			

			

				

					istrangeboy&begin zero的博客
				

				

					06-25
					
					1903
					
				

			

		

		

			
				
Windows系统冗余log的清理bat脚本

			
		

	





	

		

			

				
					
渗透测试之waf绕过基础

				
			

			

				

					qi_SJQ_的博客
				

				

					01-28
					
					3829
					
				

			

		

		

			
				
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档








文章目录

思维导图
	一、pandas是什么?
	二、使用步骤
	1.引入库
		2.读入数据
	
	总结




思维导图:









一、信息收集

此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。

1.安全狗—防ddos

cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.

			
		

	





	

		

			

				
					
利用API NtQueryInformationThread和I_QueryTagInformation实现对Windows日志监控的绕过

				
			

			

				

					weixin_33895016的博客
				

				

					09-14
					
					1630
					
				

			

		

		

			
				
本文讲的是利用API NtQueryInformationThread和I_QueryTagInformation实现对Windows日志监控的绕过,

0x00 前言
在上篇文章《渗透技巧——Windows日志删除绕过》中提到一个绕过Windows日志监控的思路:使用API NtQueryInformationThread和I_QueryTagIn...

			
		

	





	

		

			

				
					
渗透测试入门—— 常见术语概述

				
			

			

				

					weixin_46694260的博客
				

				

					12-26
					
					9081
					
				

			

		

		

			
				
00x1 前言
刚入门小白,收集了一些渗透术语,废话不多说。
00x2 渗透术语
1.脚本
动态网站(如:asp,php,jsp), linux, python
2.网站
2.1静态网站:与后台交互比较少,如html)
2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作
3.http协议
http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传

			
		

	





	

		

			

				
					
Eventlogedit-evt--General:从Windows事件查看器日志(EVT)文件中删除单独的行

				
			

			

				

					03-21
				

			

		

		

			
				
Eventlogedit-evt--常规
从Windows事件查看器日志(EVT)文件中删除单独的行
支持:Windows XP和Windows 2003
我的帖子有关详细信息:
稍后,我将它们翻译成英文。
笔记:
 WinXP和Win7,ObjectTypeNumber = 0x1c
 evtDeleteRecordofFile.cpp
读取一个evt文件(c:\ test \ sys1.evt),然后删除一些事件日志记录(从StartTime =“ 2018-7-16 17:46:17”到EndTime =“ 2018-7-16 17:46:40 ”)。
新的evt文件另存为c:\test\sys2.evt和c:\test\sys3.evt (文件大小不同)。
 sys1.evt
活动数:9
 sys2.evt
事件数:8
您可以使用evtDeleteRecordofFile.cpp删

			
		

	





	

		

			

				
					
windows日志删除工具

				
			

			

				

					Make
				

				

					12-29
					
					7998
					
				

			

		

		

			
				
这个利器当然就是传说中的psloglist.exe工具了,在cmd下输入
psloglist.exe \acceptelua可以防止弹出什么什么协议之类的
psloglist.exe -c security 删除登录日志
psloglist.exe -g security backup.evt 导出登录日志
psloglist.exe -c -g security backup.evt 导出并删除...

			
		

	





	

		

			

				
					
渗透后消除痕迹的方法及实例讲解

					
最新发布

				
			

			

				

					白帽子佳奇的博客
				

				

					12-07
					
					2318
					
				

			

		

		

			
				
在网络安全领域,渗透后消除痕迹是一个关键的环节。作为一名专业的网络安全从业者,我认识到在成功完成渗透测试后,有效地清除所有痕迹的重要性。很多新手,渗透了忘记擦屁股,最后暴露,如果你刚接触网安,欢迎探讨。

			
		

	





	

		

			

				
					
渗透测试入门10之痕迹清理

				
			

			

				

					鹿鸣天涯
				

				

					04-03
					
					2141
					
				

			

		

		

			
				
渗透测试入门10之痕迹清理

Windows日志清除

获取日志分类列表:

wevtutil el >1.txt

获取单个日志类别的统计信息: eg.

wevtutil gli "windows powershell"

回显:

creationTime: 2016-11-28T06:01:37.986Z

lastAccessTime: 2016-11-28T06:01:37.98...

			
		

	





	

		

			

				
					
渗透测试之痕迹清除

				
			

			

				

					qq_29864185的博客
				

				

					07-01
					
					3415
					
				

			

		

		

			
				
痕迹清除


当我们达到了目的之后,有时候只是为了黑入网站挂黑页,炫耀一下;或者在网站留下一个后门,作为肉鸡,没事的时候上去溜达溜达;亦或者挂入挖矿木马;但是大家千万不要干这些事,这些都是违法的!

我这里只是教大家在渗透进去之后如何清除我们留下的一部分痕迹,并不能完全清除,完全清除入侵痕迹是不可能的!主要是增加管理员发现入侵者的时间成本和人力成本。只要管理员想查,无论你怎么清除,还是能查到的。

最主要还是要以隐藏自身身份为主,最好的手段是在渗透前挂上代理,然后在渗透后痕迹清除。

Windows系统



			
		

	





	

		

			

				
					
Kali Linux渗透测试 049 清除痕迹

				
			

			

				

					kevinhanser
				

				

					03-04
					
					4990
					
				

			

		

		

			
				
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 
  1. 清除渗透攻击痕迹

			
		

	





	

		

			

				
					
比CMD更强大的命令行:WMIC后渗透利用(系统命令)

					
热门推荐

				
			

			

				

					discover2210212455的博客
				

				

					09-15
					
					5万+
					
				

			

		

		

			
				
写在前面的话

在这篇文章中,我们将讨论如何在攻击的后渗透利用阶段使用WMIC(Windows Management InstrumentationCommand Line)。当攻击者在远程PC上拿到meterpreter会话之后,他们就可以枚举大量的系统信息,并利用WMI命令行工具来进行更深程度的操作。

首先,我们会介绍如何拿到远程PC的meterpreter会话。拿到会话之后,我们还会告诉大...

			
		

	





	

		

			

				
					
实战优化:Windows APT攻击与防御——Small Payload技巧

				
			

			

				

					
				

			

		

		

			
				
本课程是关于网络安全攻防实践的一次经验分享,主要涉及如何优化针对Windows系统的payload(攻击载荷)以实现有效渗透。实验环境中包括了不同版本的Windows系统,如Windows 2003和Windows 7,攻击者使用的是基于...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值