Kali渗透测试:Windows事件管理工具wevtutil使用方法
渗透测试者发现可以利用事件日志(event logging)的方式来启动某一个程序。Windows系统对事件操作的工具就是Windows系统自带的wevtutil.exe(windows event utility),使您能够检索有关事件日志和发布者的信息。您还可以使用此命令安装和卸载事件清单、运行查询以及导出、存档和清除日志。
1. 语法(Syntax)
wevtutil [{
el | enum-logs}] [{
gl | get-log} <Logname> [/f:<Format>]]
[{
sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{
ep | enum-publishers}]
[{
gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] [{
im | install-manifest} <Manifest>]
[{
um | uninstall-manifest} <Manifest>] [{
qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{
gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{
epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{
al | archive-log} <Logpath> [/l:<Locale>]]
[{
cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
2. 参数(Parameters)
3. 选项(Options)
4. 备注(Remarks)
使用带有 sl 参数的配置文件
配置文件是一个 XML 文件,与 wevtutil gl /f:xml 的输出格式相同。显示启用保留、启用自动备份并在应用程序日志上设置最大日志大小的配置文件的格式如下:
<?xml version=1.0 encoding=UTF-8?>
<channel name=Application isolation=Application
xmlns=https://schemas.microsoft.com/win/2004/08/events>
<logging>
<retention>true</retention>
<autoBackup>true</autoBackup>
<maxSize>9000000</maxSize>
</logging>
<publishing>
</publishing>
</channel>
接下文 Kali渗透测试:Windows事件管理工具wevtutil的使用方法(二)https://developer.aliyun.com/article/1618590
