渗透测试之痕迹清理

痕迹清理，是我们“肾透”测试后期最重要的环节。是躲避反追踪和隐藏攻击的重要环境。通过本文一起来学习吧。

清理Windows系统痕迹

在windows系统中，主要的日志分为以下三类：系统日志（SysEvent）、应用程序日志（AppEvent）、安全日志（SecEvent）。我们可以通过win+r + eventvwr.msc 打开事件查看器。查看相应的事件信息。

系统日志清理

记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃及数据 默认位置：C:\Windows\System32\winevt\Logs\System.evtx

应用程序日志

主要记录程序运行方面的事件，默认位置：C:\Windows\System32\winevt\Logs\Application.evtx

安全日志

记录系统安全审计事件，包含各种类型登录日志、对象访问日志、进程追踪、特权使用、账号管理、策略变更和系统事件。默认位置：C:\Windows\System32\winevt\Logs\Security.evtx

日志清理

PowerShell命令

PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}"

msf清理

# 显示日志信息
run event_manager -i
# 清除指定日志
run event_manager -c System
# 清除所有日志
run event_manager -c

Linux系统日志清理

Linux 大多数日志文件就是文本，常见痕迹清理位置：/var/log。如下图，日志比较多。

但是最常用的日志有：

• user.log 用户信息日志
• auth.log 用户登录日志
• btmp 登录失败日志

为了方便，这里我们写了一个清理脚本。

#!/usr/bin/bash
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
echo > /var/log/dpkg.log
echo > /var/log/daemon.log
echo > /root/.bash_history
history -c

清除Web日志

web日志会记录用户对web页面的访问操作,web日志会记录访问时间、访问IP地址、访问资源，以及是否访问成功等信息。这里我们以apache2为例、默认文件位置为var/log/apache2,常用的宝塔的日志文件/www/log