从永恒之蓝看后渗透(3)

这是后来smbexec出现编码bug，大佬推荐的另一款工具，同属impacket包，他的使用需要调用wmi服务，占用目标的445、135和另一个随机端口，而smbexec只使用445端口，这一块协议/服务底层问题感兴趣的可以继续深入研究。

上述脚本在应对某些目标机是可能存在命令编码问题，这可能是python环境导致的，所有依然提供个保底方案，msf。

不过它默认会植入meterpreter进行反弹shell！关键它没默认做免杀，意味着会触发杀软，所以我们搁到最后保底，真要用的话处理下payload，太自动化有时未必是件好事，与其相信谣言，不如自己思考下为什么在这里笔者如此不推荐笔者所钟爱的msf。

适用范围>=win7，我们的操作主要存在于安全日志，无脑全清的话如下即可，当然，单条删除日志不嫌麻烦的话亦可，奇安信的A-team好像还有一款日志进程kill工具（渗透结束再拉起），但测试不太稳定，大家自行抉择。

wevtutil gl security查看SECURITY日志的详细信息

wevtutil cl security清空SECURITY日志

同理可操作其他日志：APPLICATION、SETUP、SYSTEM、FORWARDEDEVENTS。

就这样，我们悄无声息的在目标机逛了一圈安全撤离，并留下了永久后门，篇幅限制，PTH、PTT、域渗透等内容不做展开，敬请期待。