关于EDRaser
EDRaser是一款功能强大的数据清理工具,该工具基于Python开发,并提供了两种操作模式(即手动和自动模式),可以帮助广大研究人员远程删除目标计算机上的访问日志、Windows事件日志、数据库和其他文件。
支持的远程操作
在手动模式下,EDRaser可以显示可用的操作列表,其中包括:
1、Windows事件日志:从远程目标系统中删除Windows事件日志; 2、VMware漏洞利用:删除主机上的VMX和VMDK文件; 3、Web服务器日志:通过发送写入访问日志文件的包含恶意字符串的user-agent,从目标系统上运行的Web服务器中删除访问日志; 4、SysLogs:从运行了卡巴斯基EDR的Linux设备上删除系统日志syslog; 5、数据库:远程删除目标数据库中的所有数据;
工具下载
由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。
接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
代码语言:javascript复制
git clone https://github.com/SafeBreach-Labs/EDRaser.git
然后切换到项目目录中,使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件:
代码语言:javascript复制
cd EDRaser
pip install -r requirements.txt
工具使用
自动模式
在自动模式下,EDRaser可以扫描的指定C类IP地址空间,以查找可以执行远程操作的目标系统,并对其进行自动化删除操作,其中包括:
1、远程删除Web服务器日志; 2、Linux系统日志删除; 3、删除Windows应用程序事件日志; 4、远程删除Windows事件日志; 5、WMX VMDK文件删除;
下列命令可以直接以自动模式执行EDRaser:
代码语言:javascript复制
python edraser.py --auto
手动模式
在手动模式下,我们可以选择针对目标系统执行特定的操作,从而获得更大的控制权。
下列命令可以直接以手动模式执行EDRaser:
代码语言:javascript复制python edraser.py --ip <ip_addr> --attack <attack_name> [--sigfile <signature file>]参数解析:
--ip:要扫描的IP地址范围和目标设备地址(默认:localhost); --sigfile:使用指定的加密签名DB(默认:signatures.db); --attack:要执行的操作,可选项包括:['vmx', 'vmdk', 'windows_security_event_log_remote', 'windows_application_event_log_local', 'syslog', 'access_logs', 'remote_db', 'local_db', 'remote_db_webserver']; port:远程设备端口号; db_username:远程DB用户名; db_password:远程DB密码; db_type:远程DB类型,支持mysql和sqlite; db_name:远程DB数据库名称; table_name:远程DB表名; rpc_tools:VMware rpc_tools路径;
使用样例:
代码语言:javascript复制python edraser.py --attack windows_event_log --ip 192.168.1.133
python EDRaser.py -attack remote_db -db_type mysql -db_username test_user -db_password test_password -ip 192.168.1.10数据库Web服务器
我们可以打开一个Web界面来插入和查看远程DB:
代码语言:javascript复制EDRaser.py -attack remote_db_webserver -db_type mysql -db_username test_user -db_password test_password -ip 192.168.1.10上述命令将在localhost:8080地址上打开一个Web服务器,它将允许我们查看数据并将数据插入到远程给定的数据库中。
许可证协议
本项目的开发与发布遵循BSD-3-Clause开源许可证协议。
