[渗透测试] 针对 win 安全日志的简单处理

[复制链接]
查看6490 | 回复14 | 2017-7-21 22:48:35 | 显示全部楼层 |阅读模式
[权限要高是必须的],实际渗透中不应该是第一选择,
1,入侵日志处理作为后渗透环节的重要组成部分,可能很多朋友在实际渗透中,对它貌似都并不怎么上心[ 但确实又很重要 ],
利用win带的 wevtutil 日志管理工具[win 7以后自带,03之前的系统就不说了吧,大家都很熟悉了]可以很方便[‘不过,有点儿太方便了’]的帮我们处理一些敏感的系统安全类日志,既然要涉及到系统的安全审计
’管理员权限’ 自然是少不了的

[mw_shl_code=applescript,true]# wevtutil el | more                                  查看系统日志列表项
# wevtutil cl "windows powershell"                 清除powershell日志
# wevtutil cl "security"                          清除系统安全日志
# wevtutil cl "system"                             清除系统日志
# wevtutil cl "application"                          清除应用程序日志
……[/mw_shl_code]

more

more


2,第一种,利用常规for循环 一句话清除所有系统日志:  [mw_shl_code=applescript,true]for /F "tokens=*" %a in ('wevtutil.exe el') DO wevtutil.exe cl "%a"[/mw_shl_code]

for

for


3,如果你弹回来的是一个ps的shell,也可直接用ps来批量删日志:
[mw_shl_code=applescript,true]PS C:\> wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}[/mw_shl_code]

ps

ps



4,删完之后你会发现整个世界都瞬间安静了,是的,没错,直接整个全部清空,简单粗暴,尼玛……可能wevtutil里面还有一些可以筛选日志的选项我暂时还没发现吧,后期看到了再陆续补充上来,实在不行就只能自己写脚本了[也许powershell会是个不错的选择]

来自群组: 官方团队
有人的地方就有我。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

7

主题

53

帖子

403

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
403