CTF论坛

标题: 针对 win 安全日志的简单处理 [打印本页]

作者: Jesen 时间: 2017-7-21 22:48
标题: 针对 win 安全日志的简单处理

[权限要高是必须的],实际渗透中不应该是第一选择，

1,入侵日志处理作为后渗透环节的重要组成部分,可能很多朋友在实际渗透中,对它貌似都并不怎么上心[ 但确实又很重要 ],

利用win带的 wevtutil 日志管理工具[win 7以后自带,03之前的系统就不说了吧,大家都很熟悉了]可以很方便[‘不过,有点儿太方便了’]的帮我们处理一些敏感的系统安全类日志,既然要涉及到系统的安全审计

’管理员权限’ 自然是少不了的

[mw_shl_code=applescript,true]# wevtutil el | more                               查看系统日志列表项
# wevtutil cl "windows powershell"                清除powershell日志
# wevtutil cl "security"                         清除系统安全日志
# wevtutil cl "system"                            清除系统日志
# wevtutil cl "application"                         清除应用程序日志
……[/mw_shl_code]

2,第一种,利用常规for循环一句话清除所有系统日志: [mw_shl_code=applescript,true]for /F "tokens=*" %a in ('wevtutil.exe el') DO wevtutil.exe cl "%a"[/mw_shl_code]

for

3,如果你弹回来的是一个ps的shell,也可直接用ps来批量删日志:
[mw_shl_code=applescript,true]PS C:\> wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}[/mw_shl_code]

4,删完之后你会发现整个世界都瞬间安静了,是的,没错,直接整个全部清空,简单粗暴,尼玛……可能wevtutil里面还有一些可以筛选日志的选项我暂时还没发现吧,后期看到了再陆续补充上来,实在不行就只能自己写脚本了[也许powershell会是个不错的选择]

[groupid=53]官方团队[/groupid]

欢迎光临 CTF论坛 (https://www.bugku.com/)