EDRaser:一款功能强大的远程日志和文件数据清理工具
2023-11-11 09:2:47 Author: FreeBuf(查看原文) 阅读量:14 收藏

关于EDRaser 

EDRaser是一款功能强大的数据清理工具,该工具基于Python开发,并提供了两种操作模式(即手动和自动模式),可以帮助广大研究人员远程删除目标计算机上的访问日志、Windows事件日志、数据库和其他文件。

 支持的远程操作 

在手动模式下,EDRaser可以显示可用的操作列表,其中包括:

1、Windows事件日志:从远程目标系统中删除Windows事件日志;

2、VMware漏洞利用:删除主机上的VMX和VMDK文件;

3、Web服务器日志:通过发送写入访问日志文件的包含恶意字符串的user-agent,从目标系统上运行的Web服务器中删除访问日志;

4、SysLogs:从运行了卡巴斯基EDR的Linux设备上删除系统日志syslog;

5、数据库:远程删除目标数据库中的所有数据;

 工具下载 

由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。

接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/SafeBreach-Labs/EDRaser.git

然后切换到项目目录中,使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件:

cd EDRaser
pip install -r requirements.txt

 工具使用 

自动模式

在自动模式下,EDRaser可以扫描的指定C类IP地址空间,以查找可以执行远程操作的目标系统,并对其进行自动化删除操作,其中包括:

1、远程删除Web服务器日志;

2、Linux系统日志删除;

3、删除Windows应用程序事件日志;

4、远程删除Windows事件日志;

5、WMX + VMDK文件删除;

下列命令可以直接以自动模式执行EDRaser:

python edraser.py --auto

手动模式

在手动模式下,我们可以选择针对目标系统执行特定的操作,从而获得更大的控制权。

下列命令可以直接以手动模式执行EDRaser:

python edraser.py --ip <ip_addr> --attack <attack_name> [--sigfile <signature file>]

参数解析:

--ip:要扫描的IP地址范围和目标设备地址(默认:localhost);

--sigfile:使用指定的加密签名DB(默认:signatures.db);

--attack:要执行的操作,可选项包括:['vmx', 'vmdk', 'windows_security_event_log_remote', 'windows_application_event_log_local', 'syslog', 'access_logs', 'remote_db', 'local_db', 'remote_db_webserver'];

port:远程设备端口号;

db_username:远程DB用户名;

db_password:远程DB密码;

db_type:远程DB类型,支持mysql和sqlite;

db_name:远程DB数据库名称;

table_name:远程DB表名;

rpc_tools:VMware rpc_tools路径;

使用样例:

python edraser.py --attack windows_event_log --ip 192.168.1.133python EDRaser.py -attack remote_db -db_type mysql -db_username test_user -db_password test_password -ip 192.168.1.10

数据库Web服务器

我们可以打开一个Web界面来插入和查看远程DB:

EDRaser.py -attack remote_db_webserver -db_type mysql -db_username test_user -db_password test_password -ip 192.168.1.10

上述命令将在localhost:8080地址上打开一个Web服务器,它将允许我们查看数据并将数据插入到远程给定的数据库中。

 许可证协议 

本项目的开发与发布遵循BSD-3-Clause开源许可证协议。

 项目地址 

EDRaser:https://github.com/SafeBreach-Labs/EDRaser

FreeBuf粉丝交流群招新啦!

在这里,拓宽网安边界

甲方安全建设干货;

乙方最新技术理念;

全球最新的网络安全资讯;

群内不定期开启各种抽奖活动;

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复“加群”,申请加入群聊

https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-command-injection-flaws-in-qts-os-apps/#google_vignette



文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651247735&idx=4&sn=a7d07a0191a4ae6e2584d2364766d37d&chksm=bd1d46fc8a6acfea007cc10d8d277c6294279aa01f1641c6e2296eed64c1c2ba4cc7e82364fe&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh