【红队战术】windows、linux系统、web日志痕迹清理工具

已于 2023-07-24 11:15:43 修改
阅读量947 收藏 2
点赞数
分类专栏: 红队战术 文章标签: 网络安全 安全 系统安全 web安全 安全威胁分析
于 2023-07-24 10:30:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_34594929/article/details/131890399
版权 
git clone https://github.com/xanszZZ/clear_tool

本工具是由python编写的windows、linux系统痕迹清理工具。支持清理windows web日志清理,包括IIS、apache、nginx中间件的日志文件清理,支持清理linux web日志清理,在使用本工具前需找到对应系统web日志目录

一些中间件默认web日志目录:

IIS:
%SystemDrive%\inetpub\logs\LogFiles
注:不同的 Win版本iis日志路径不一样,这里列出几个
C:\Windows\System32\LogFiles # win_s_2003
C:\inetpub\logs\LogFiles # win_s_2008r2
%SystemDrive%\inetpub\logs\LogFiles # win_s_2012r2

apache:
apache默认日志在安装目录下的logs目录中

nginx:
nginx默认日志在安装目录下的logs目录中。

参数

 -s 选择w或l ,对应windows和linux系统

-u 选择想要清理的关键ip

-p 在IIS中间件中,对应目标日志文件的名字不同,选择对应的名字,在linux中选择要删除的日志文件

将工具放入对应目录下

python clear_tool.py -s w -u 127.0.0.1 

目标主机没有python环境可直接使用打包好的exe文件(注:原项目没有Tomcat功能)
clear_tool.exe -s w -u 127.0.0.1

命令示例

Liunx日志清理:

python3 clear.py -s l -u 192.168.1.108 -p /path/to/linux/logfile

清理Windows(IIS)日志:

python3 clear.py -s w -u 192.168.1.108 -p C:\path\to\iis\logfile.log

清理Apache日志:

python3 clear.py -u 192.168.1.108 -p /path/to/apache/access.log

增加一个Tomcat日志清理

通过此修改,您现在可以使用参数-s t或–sys t来指定要清理 Tomcat 日志。参数-por–path将指定 Tomcat 日志目录的路径。

例如,要清理目录中特定IP地址的Tomcat日志/path/to/tomcat/logs,可以运行示例命令:

python3 clear.py -s t -u 192.168.1.108 -p /path/to/tomcat/logs

import argparse
import os
import textwrap

def main(sys, ip, path):
    if sys == 'l':
        os.system(f"sed -i '/{ip}/d' /var/log/{path}")
        print(f"Linux {path} 日志清理完成")
    elif sys == 'w' and path:
        os.system(f'findstr /v {ip} {path}.log > {path}_new.log')
        os.system('net stop w3svc')
        os.system(f'del {path}.log')
        os.system(f'rename {path}_new.log {path}.log')
        os.system('net start w3svc')
        print("IIS 日志清理完成")
    elif sys == 't' and path:
        os.system(f'grep -v {ip} {path}/catalina.out > {path}/catalina_new.out')
        os.system(f'rm {path}/catalina.out')
        os.system(f'mv {path}/catalina_new.out {path}/catalina.out')
        print("Tomcat 日志清理完成")
    else:
        os.system(f'findstr /v {ip} access.log > access_new.log')
        os.system('del access.log')
        os.system('rename access_new.log access.log')
        os.system(f'findstr /v {ip} error.log > error_new.log')
        os.system('del error.log')
        os.system('rename error_new.log error.log')
        print("Apache 日志清理完成")


if __name__ == '__main__':
    banner = """ 
         _____   _       _____       ___   _____   
        /  ___| | |     | ____|     /   | |  _  \  
        | |     | |     | |__      / /| | | |_| |  
        | |     | |     |  __|    / / | | |  _  /  
        | |___  | |___  | |___   / /  | | | | \ \  
        \_____| |_____| |_____| /_/   |_| |_|  \_\ 
                                                version: 0.0.1
                                                author:  xans
    """
    print(banner)
    # 使用argparse去解析命令行传来的参数
    parser = argparse.ArgumentParser(description="clear tool",
                                     formatter_class=argparse.RawDescriptionHelpFormatter,
                                     epilog=textwrap.dedent('''example:
        python3 clear.py -s w -u 192.168.1.108 
        '''))
    # 添加参数
    parser.add_argument("-s", "--sys", dest="sys", type=str, help="input a system")
    parser.add_argument("-u", "--ip", dest="ip", type=str, help="input a ip")
    parser.add_argument("-p", "--path", dest="path", type=str, help="input a path")
    # 把参数的值解析到对象中
    args = parser.parse_args()

    main(args.sys, args.ip, args.path)

后续有时间在添加其它功能…

红队内网攻防渗透:内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 1179
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
Ms08067红队学员 “红蓝实战对抗”报告
Ms08067安全实验室
12-23 980
MS08067红队攻防从第二期班开始增加了“实战对抗”环节,为了模拟真实环境将采用两个不同的云服务提供商搭建真实环境,将同学分为AB两队,一攻一守,实现既有攻击也要有防御更要有反制的全面内...
Windows日志清除工具
10-29
可以备份、清除Windows日志,使用自定义的大量垃圾信息覆盖现有日志
红队战术系统日志清除
黑剑
07-24 2543
攻击者可能会清除Windows事件日志以隐藏入侵活动。Windows事件日志是计算机警报和通知的记录。系统定义的事件源共有三种:系统、应用程序和安全性,并具有五种事件类型:错误、警告、信息、成功审核和失败审核。
红队攻击流程
最新发布
m0_54401242的博客
03-25 245
毁坏操作:在某些情况下,可能会对目标系统进行破坏性操作,造成损失或混乱。情报收集:搜集目标组织的信息,包括网络拓扑、系统架构、员工信息等。数据挖掘:查找和窃取目标系统中的重要数据,如机密文件、财务信息等。清理痕迹:在攻击完成后,清除所有留下的痕迹,避免被目标系统检测到。脆弱性分析分析目标系统的漏洞和安全弱点,寻找可以利用的入口点。提取信息:搜集目标系统中的敏感信息,如用户凭证、机密文件等。维持访问:保持对目标系统的持续访问权限,避免被检测和清除。入侵尝试:尝试利用漏洞或弱点,获取对目标系统的访问权限。
windows日志删除工具
Make
12-29 8587
这个利器当然就是传说中的psloglist.exe工具了,在cmd下输入 psloglist.exe \acceptelua可以防止弹出什么什么协议之类的 psloglist.exe -c security 删除登录日志 psloglist.exe -g security backup.evt 导出登录日志 psloglist.exe -c -g security backup.evt 导出并删除...
日志清理工具
11-06
SQL 日志清理 工具 日志清理工具,适合 sql server 2005 2000 数据库
渗透测试---蓝队基础
2301_79949226的博客
11-14 924
本文主要阐释了护网蓝队的相关理论知识,希望对大家有帮助咯。
蓝队基础:企业网络安全架构与防御策略
2401_87640455的博客
11-15 1422
企业网络通常划分为不同的安全区域,以控制区域之间的访问权限。划分安全区可以防御外部和内部攻击。DMZ(非军事区):隔离内部与外部系统,提供安全的访问通道。蜜罐:引诱和分析入侵者,收集攻击信息和行为式。代理:对外提供有限的服务,保护内部网络免受外部攻击。在红队也可以增加攻击的保密性,甚至挂三四层代理(本机连云服务器,云服务器再连接云服务器,再挂代理)一般这样溯源难度非常高VPN:员工与合作商通过VPN连接内网,确保远程访问的安全性和保密性。核心网络:通常物理分离、冗余设计,确保网络的稳定性和可靠性。
论文细读:HOLMES:Real-time APT Detection through Correlation of Suspicious Information Flows
yuehao1143631149的博客
05-08 3617
HOLMES:基于可疑信息流关联的实时APT检测 Abstract 在本文中,我们介绍了Holmes系统,它实现了一种新的检测高级和持续性威胁(APT)的方法。Holmes的灵感来自于现实世界APT的几个案例研究,这些案例突出了APT的一些共同目标。简而言之,Holmes的目标是产生一个探测信号,表明存在一组协调一致的活动,这些活动是APT活动的一部分。我们的方法解决的主要挑战之一涉及开发一套使检测信号健壮和可靠的技术。从高层次上讲,我们开发的技术有效地利用了攻击者活动期间出现的可疑信息流之间的关联。除
windows系统日志清理
11-14
能够在为在Windows系统下定时清理服务器生成的日志,里面包括详细的操作说明及源码
Win7/8 一键清除日志工具
02-05
Win7/win8 一键清除日志,下载后,再评论优快云好像说是可以返点!
ClearTools.exe
05-01
一键清除系统垃圾,给系统减肥,只需按键一次,轻松清除系统各类垃圾。方便大家。
红队渗透-window痕迹清除
EdisonJH的博客
05-16 2757
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、windows操作系统基础入门二、windows渗透痕迹清除1.为避免入侵操作行为被发现时,攻击者往往通过各种方式来隐藏自己操作痕迹,比如:删除日志、隐藏后门、日志伪造。 前言 我们在做痕迹清理时,一定要对windows的基础理论,基础知识点明确于心,废话不多说,接下来开始学习。 记录MS08068学习红队三期windows痕迹清除 1、windows用户基础入门 2、windows用户命令入门 3、windows渗透痕.
防御闪避:Windows日志清理
weixin_51387754的博客
05-15 889
防御闪避是一种网络杀伤链攻击策略,其中包括攻击者用来防止在受到侵犯时被检测到的策略。 目录 使用Wevtutil命令清除事件日志 使用Powershell清除事件日志 Phantom Mimikatz MiniNT registry key Powershell Empire Metasploit 为了限制可用于检测和审核的数据量,攻击者可以禁用Windows事件日志记录。登录尝试,流程开发,其他用户和设备行为均记录在Windows事件日志中。情报软件和分析人员使用此信息来识别工件。 使用Wevtutil命
红队笔记之痕迹清理技术要点与实战方法总结
明光札记
12-21 3830
一文带你了解痕迹清除的技术要点,以及WindowsLinux痕迹清除的常用手法
Windows入侵日志清除
难办就别办的博客
03-15 1372
应用程序日志安全日志系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。Windows 7的日志文件通常有应用程序日志安全日志系统日志、DNS服务器日志、FTP日志、WWW日志等等。日志文件通常有某项效劳在后台维护,除了体系日志安全日志应用程序日志等等,它们的效劳是Windows 7的要害进程,并且与注册表文件在一块,当Windows 7启动后,发动效劳来维护这些文。清除Windows 7使用痕迹日志
日志痕迹清除
m0_62680100的博客
08-16 454
sed -i '/ip/'d /var/log/apache2/access.log sed -i '/ip/替换ip/' /var/log/apache2/access.log 在日志中替换ip。1.Metasploit 清除windows 日志 clearlog和elsave工具。2.Cobalt Strike插件清除Windows日志 EventlogMaster。windows日志痕迹清除。1Apache日志痕迹清除工具:logtamper。linux日志痕迹清除。2.IIS日志痕迹清除
pwncat:简化红队操作的Linux反向shell工具
而pwncat则是渗透测试中使用的工具,它提供了一种新的方式来处理目标Linux系统上的反向shell(reverse shell)。 描述中详细介绍了pwncat的功能和用途。反向shell是一种允许攻击者从远程机器上控制另一台机器的技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

David_Jou

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值