滲透技巧——Windows日誌的刪除與繞過
0x00 前言
在滲透測試過程中,Windows日誌往往會記錄系統上的敏感操作,如添加用戶,遠程登錄執行等。
對於一次完整的滲透測試,通常會選擇對Windows日誌進行清除和繞過,而對於防禦者來說,了解常用的繞過方法也有助於更好的保護自己的系統。
所以本文將要介紹常見的Windows日誌清除與繞過方法,分享經驗,幫助大家。
0x01 簡介
本文將要介紹以下內容:
Windows日誌的常用清除方法
Windows日誌的兩種繞過方法
0x02 Windows日誌
Windows日誌包括五個類別:
應用程序
安全
Setup
系統
轉發事件
查看方式:
1、通過面板
位置如下:
Control PanelSystem and Security-View event logs-Windows Logs
如下圖
2、通過Powershell
常用命令如下:
(管理員許可權)
查看所有日誌:
Get-WinEvent
查看應用程序類別下的日誌:
Get-WinEvent -FilterHashtable @
0x03 Windows日誌的常用清除方法
1、wevtutil.exe
操作系統默認包含,支持系統:Win7及以上
常用命令如下:
(1) 統計日誌列表,查詢所有日誌信息,包含時間,數目
wevtutil.exe gli Application
操作如下圖
(2) 查看指定類別的日誌內容
wevtutil qe /f:text Application
操作如下圖
(3) 刪除該類日誌所有內容
wevtutil cl Application
操作如下圖
Application日誌全部清除,數目為0
(4) 刪除單條內容
尚不支持
2、NSA DanderSpiritz
DanderSpritz是NSA的一款界面化的遠控工具
相關介紹可參考:
https://3gstudent.github.io/3gstudent.github.io/NSA-DanderSpiritz%E6%B5%8B%E8%AF%95%E6%8C%87%E5%8D%97-%E6%9C%A8%E9%A9%AC%E7%94%9F%E6%88%90%E4%B8%8E%E6%B5%8B%E8%AF%95/
常用命令如下:
(1) 統計日誌列表,查詢所有日誌信息,包含時間,數目
eventlogquery -log Application
(2) 查看指定類別的日誌內容
eventlogfilter -log Application -num 10
(3) 刪除該類日誌所有內容
eventlogclear -log Application
(4) 刪除單條內容
eventlogedit -log Application -record 1
註:
record序號可通過eventlogfilter獲得
0x04 Windows日誌的繞過方法
本文介紹的思路參考自Halil Dalabasmaz@hlldz的文章,地址如下:
https://artofpwn.com/phant0m-killing-windows-event-log.html
繞過原理:
Windows日誌對應於eventlog服務,找到該服務對應的進程svchost.exe,進而篩選出svchost.exe進程中具體實現日誌功能的線程,調用TerminateThread結束線程,破壞日誌記錄功能
特別的地方:
由於只結束了實現日誌功能的線程,所以Windows Event Log服務沒有被破壞,狀態仍為正在運行
繞過方法一
1、定位eventlog服務對應進程svchost.exe的pid
2、遍歷該進程中的所有線程
3、判斷線程是否滿足條件
Windows Event Log 服務需要調用wevtsvc.dll,完整路徑為%WinDir%System32wevtsvc.dll
並且,如果線程調用了wevtsvc.dll,就可以判讀該線程實現了日誌記錄功能
4、結束線程
使用TerminateThread
註:
Halil Dalabasmaz@hlldz使用powershell實現了方法一,完整代碼可參考:
https://github.com/hlldz/Invoke-Phant0m
powershell腳本執行後,Windows日誌功能失效,無法記錄日誌,操作如下圖
5、恢復方法
結束進程svchost.exe
重新開啟Windows Event Log 服務:
net start eventlog
操作如下圖
繞過方法二
1、定位eventlog服務對應進程svchost.exe的pid
powershell代碼如下:
Get-WmiObject -Class win32_service -Filter "name = eventlog " | select -exp ProcessId
找到svchost.exe的pid為7008,如下圖
2、遍歷該進程中的所有線程
使用PsList
pslist下載地址如下:
https://technet.microsoft.com/en-us/sysinternals/bb896682.aspx
具體參數如下:
pslist.exe /accepteula -d 7008
獲取進程svchost.exe中的所有線程,如下圖
3、判斷線程是否滿足條件
獲取線程對應的服務,如果為eventlog,則滿足條件
使用工具:ScTagQuery
下載地址:
http://www.winsiderss.com/tools/sctagquery/sctagqry.zip
具體參數如下:
sctagqry.exe -t 7928
根據返回的結果Service Tag,判斷線程對應的服務
找到對應eventlog的線程,如下圖
線程8136符合條件,依次嘗試,直到獲取所有符合條件線程
註:
使用Process Explorer可以簡化此過程
找到eventlog服務對應進程svchost.exe
如下圖
右鍵查看屬性,選擇Threads標籤,查看線程,可直接獲得線程對應的服務
如下圖
符合條件的線程TID為:
4、結束線程
調用TerminateThread
通過c++實現,部分代碼如下:
int main(int argc, char* argv[]){ printf("TerminateThread TID:n"); for(int i=1;i
完整代碼已上傳至github,地址如下:
https://github.com/3gstudent/Windwos-EventLog-Bypass/blob/master/TerminateEventLogThread.cpp
控制台支持傳入多個參數,向其傳入5個TID: 8136 8052 6708 2316 6356
自動結束對應線程,日誌功能失效
具體操作如下圖
註:
稍後我會在github上更新該繞過方法的完整實現代碼,地址如下:
https://github.com/3gstudent/Windwos-EventLog-Bypass
0x05 補充
1、安裝sysmon可對Windows日誌功能進行擴展
相關介紹和繞過思路可參考;
https://3gstudent.github.io/3gstudent.github.io/%E9%80%9A%E8%BF%87APC%E5%AE%9E%E7%8E%B0Dll%E6%B3%A8%E5%85%A5-%E7%BB%95%E8%BF%87Sysmon%E7%9B%91%E6%8E%A7/
2、繞過方法僅針對Windows日誌
對應用程序和服務日誌失效,例如Windows Powershell
如下圖
0x06 小結
本文對Windows日誌的清除和繞過方法做了介紹,希望能夠幫助大家,接下來會分享繞過方法二的具體程序實現方法。
本文為 3gstudent 原創稿件,授權嘶吼獨家發布,未經許可禁止轉載
點擊展開全文
※實用教程:手動安卓應用中注入msf後門
※趨勢科技技術分析:詳解無文件勒索病毒Sorebrect
※HackerOne年度報告:安全眾測推出四年,成果幾何?
※出門刷卡要小心!一種可以從POS機終端收集信用卡信息的惡意軟體出現了
※利用 SSDP 協議生成 100 Gbps DDoS 流量的真相探秘
TAG:嘶吼RoarTalk |
※滲透技巧——Windows中net session的利用
※滲透技巧——Windows下的剪貼板
※滲透技巧——Junction Folders和Library Files的後門利用
※域滲透——Kerberoasting
※滲透技巧——Windows Token九種許可權的利用
※powershell滲透框架
※滲透技巧——獲取Windows系統下DPAPI中的MasterKey
※滲透技巧——Windows下NTFS文件的USN Journal
※CrackMapExec:一款針對大型Windows活動目錄(AD)的後滲透工具
※kali linu滲透系統.md
※Windows ADS在滲透測試中的妙用
※Scrounger:iOS和Android移動應用程序滲透測試框架
※iOS滲透測試工具Part 1:App Decryption以及class-dump
※Aqua推出開源Kubernetes滲透測試工具Kube-hunter
※Huntpad:為滲透測試人員設計的Notepad應用
※新手入門 Powershell滲透利用
※高級域滲透技術之傳遞哈希已死-LocalAccountTokenFilterPolicy萬歲
※滲透技巧——利用Masterkey離線導出Chrome瀏覽器中保存的密碼
※靶機滲透測試實戰-hack the ch4inrulz
※Web Service和Web API滲透測試指南(一)