[权限要高是必须的],实际渗透中不应该是第一选择, 1,入侵日志处理作为后渗透环节的重要组成部分,可能很多朋友在实际渗透中,对它貌似都并不怎么上心[ 但确实又很重要 ], 利用win带的 wevtutil 日志管理工具[win 7以后自带,03之前的系统就不说了吧,大家都很熟悉了]可以很方便[‘不过,有点儿太方便了’]的帮我们处理一些敏感的系统安全类日志,既然要涉及到系统的安全审计
[mw_shl_code=applescript,true]# wevtutil el | more 查看系统日志列表项
# wevtutil cl "windows powershell" 清除powershell日志
# wevtutil cl "security" 清除系统安全日志
# wevtutil cl "system" 清除系统日志
# wevtutil cl "application" 清除应用程序日志
……[/mw_shl_code]
more
2,第一种,利用常规for循环 一句话清除所有系统日志: [mw_shl_code=applescript,true]for /F "tokens=*" %a in ('wevtutil.exe el') DO wevtutil.exe cl "%a"[/mw_shl_code]
for
3,如果你弹回来的是一个ps的shell,也可直接用ps来批量删日志:
[mw_shl_code=applescript,true]PS C:\> wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}[/mw_shl_code]
ps
4,删完之后你会发现整个世界都瞬间安静了,是的,没错,直接整个全部清空,简单粗暴,尼玛……可能wevtutil里面还有一些可以筛选日志的选项我暂时还没发现吧,后期看到了再陆续补充上来,实在不行就只能自己写脚本了[也许powershell会是个不错的选择]
来自群组: 官方团队 | 
变色卡
照妖镜
