![EDRaser | 用于远程删除访问日志、Windows 事件日志、数据库和其他文件的工具插图 EDRaser | 用于远程删除访问日志、Windows 事件日志、数据库和其他文件的工具插图](https://blog.eswlnk.com/wp-content/uploads/wpcy/c4d61cbc11bae97b2593dff8ef951f3f.jpg)
引言
大家好,欢迎来到我的个人博客!今天我要介绍一个功能强大的工具——EDRaser。它可以帮助我们远程删除远程计算机上的访问日志、Windows 事件日志、数据库和其他文件。不论是自动模式还是手动模式,EDRaser都能为我们提供便捷的操作方式。接下来,我将详细介绍这个工具的使用方法。
自动模式
在自动模式下,EDRaser会扫描指定IP地址空间的C类网络,寻找易受攻击的系统,并自动发起攻击。在自动模式下,EDRaser支持以下攻击类型:
要使用EDRaser的自动模式,请按照以下步骤操作:
python edraser.py --auto
手动模式
除了自动模式外,EDRaser还提供了手动模式,让我们可以根据需要选择针对目标系统的特定攻击方式,以获得更高的控制权。需要注意的是,某些攻击方式(例如 VMX 删除)仅适用于本地计算机。
要使用EDRaser的手动模式,请使用以下语法:
python edraser.py --ip <ip_addr> --attack <attack_name> [--sigfile <signature file>]
--ip
:扫描指定范围内的IP地址并攻击易受攻击的系统(默认为localhost)。--sigfile
:使用指定的加密签名DB(默认为signatures.db)。--attack
:要执行的攻击。可选择的攻击包括:['vmx'、'vmdk'、'windows_security_event_log_remote'、'windows_application_event_log_local'、'syslog'、'access_logs'、'remote_db'、'local_db'、'remote_db_webserver']。
数据库网络服务器
如果您想要通过一个Web界面来插入和查看远程数据库,EDRaser也提供了这个功能。您可以使用以下命令实现:
EDRaser.py -attack remote_db_webserver -db_type mysql -db_username test_user -db_password test_password -ip 192.168.1.10
这将在 localhost:8080 地址上启动一个Web服务器,允许您查看数据并将数据插入到远程给定的数据库中。此功能旨在提供一个“现实世界”的示例场景,其中您有一个网站,在该网站上输入数据并将其保存在远程数据库中。您可以使用此功能手动将数据插入到远程数据库中。
可用的攻击
在手动模式下,EDRaser会显示可用攻击的列表。以下是每种攻击的简要描述:
- Windows 事件日志:从远程目标系统中删除Windows事件日志。
- VMware漏洞利用:删除主机上的VMX和VMDK文件。此攻击仅在VMware环境中的本地主机上有效,方法是修改VMX文件或直接写入VMDK文件。
- Web服务器日志:通过发送包含恶意字符串用户代理的请求,从运行在目标系统上的Web服务器中删除访问日志。
- SysLogs:从运行Kaspersky EDR的Linux计算机中删除syslog。
- 数据库:删除远程目标数据库中的所有数据。
EDRaser
📮评论