今天继续给大家介绍渗透测试相关知识,本文主要内容是MSF渗透后日志删除。
免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!
一、Windows日志简介
在Windows系统中,在Win+R中运行eventvwr,可以查看系统的日志,如下所示:
二、Windows日志删除
在渗透测试完成后,我们为了防止渗透过程被系统管理员所察觉,自身的渗透测试流程在系统上留下痕迹,我们通过会进行日志的删除。
如果我们使用MSF获取到目标系统的SHELL,那么我们执行命令:
clearev
即可删除目标系统上存在的漏洞。该命令执行结果如下所示:
删除后,当前系统上日志如下所示:
三、Linux日志删除
至于Linux系统日志的删除,则比较复杂,需要根据不同的发行版本删除不同的日志。
通常情况下我们要删除的是存储在history中的命令执行记录,执行命令:
history -c
即可完成上述。
此外,我们还需要删除一些记录在文件中的日志,这些日志可能有如下:
/var/log/secure
/var/logsyslog
/var/log/httpd/access_log
/var/log/httpd/error_log
/var/log/xferlog
/var/log/auth.log
/var/log/user.log
/var/log/wtmp
/var/log/btmp
/var/log/utmp
/var/log/lastlog
我们可以将上述日志的内容全部删除,更为方便的是将上述过程写成一个脚本,使其自动运行。
四、写在最后
1、日志的删除需要有一定的权限,如果我们获取权限不足,那么就不能删除日志。
2、在日志的清理时,我们不仅要清理系统的日志,如果我们是通过某些服务获取了SHELL,那么还要注意清除该服务的日志。
3、我们队日志的清理,只能够清理存储在该设备上的日志信息,如果目标系统做了ELK等日志存储服务,那么我们无法删除存储在日志服务器上的日志。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200