红队笔记之文件隐藏技巧在Windows权限维持中的应用

最新推荐文章于 2024-01-02 17:28:51 发布
最新推荐文章于 2024-01-02 17:28:51 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: 红队笔记 文章标签: windows 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/corenote/article/details/121756089
版权

在这里插入图片描述

文章目录

利用ATTRIB修改文件属性隐藏

使⽤attrib +S +A +H +R命令就是把原本的⽂件夹增加了系统⽂件属性、存档⽂件属性、只读⽂件属性和隐藏⽂件属,这样外部是无法看到文件的, 除非在使用命令行的方式进行查看

# 为文件添加属性
attrib +S +A +H +R test.txt
# 为文件清除属性
attrib -S -A -H -R test.txt

ATTRIB的详细命令如下

ATTRIB [+R | -R] [+A | -A] [+S | -S] [+H | -H] [+O | -O] [+I | -I] [+X | -X] [+P | -P] [+U | -U]
       [drive:][path][filename] [/S [/D]] [/L]

  +   设置属性。
  -   清除属性。
  R   只读文件属性。
  A   存档文件属性。
  S   系统文件属性。
  H   隐藏文件属性。
  O   脱机属性。
  I   无内容索引文件属性。
  X   无清理文件属性。
  V   完整性属性。
  P   固定属性。
  U   非固定属性。
  
  [drive:][path][filename]
      指定属性要处理的文件。
  /S  处理当前文件夹及其所有子文件夹中
      的匹配文件。
  /D  也处理文件夹。
  /L  处理符号链接和
      符号链接目标的属性

使用CLSID伪装文件夹

CLSID是Windows的文件标识符,也称类标识符,位于注册[HKEY_LOCAL_MACHINE\Software\Classes\CLSID]下,通常由32个十六进制数构成,其一般格式是“{八位数-四位数-四位数-四位数-十二位数}”。我们操作电脑时,会对系统程序名称发出指令,Windows则通过对该程序的文件标识符识别而做出响应。因此,我们可以伪造文件标识符让操作系统做出错误响应。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rQnoMkag-1638795799497)(E:\CoreNote\文章附件\1638166052825.png)]

1、将要伪装的文件夹重命名为

我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}

2、此时文件夹会变为“我的电脑”图标,且点击后可以打开我的电脑

在这里插入图片描述

3、如果想打开这个⽂件夹:我们先⽤WinRAR找到这个⽂件夹,然后重命名⽂件夹把后缀的“.{20D04FE0-3AEA-1069- A2D8-08002B30309D}”删除

常用的文件标识符如下;

我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
回收站.{645ff040-5081-101b-9f08-00aa002f954e}
拔号⽹络.{992CFFA0-F557-101A-88EC-00DD010CCC48}
打印机.{2227a280-3aea-1069-a2de-08002b30309d}
控制⾯板.{21ec2020-3aea-1069-a2dd-08002b30309d}
⽹上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

畸形目录

利用Windows的Gui无法打开带有特殊字符的文件,我们可以使用命令行的方式创建带有特殊字符的文件,增加文件被清除难度

1、在命令行创建文件夹,鼠标双击无法正常打开文件夹

md 伪装者...\

在这里插入图片描述

2、将我们要保护的文件存储到伪装者中

 cp payload.c 伪装者...\payload.c

3、储存在畸形文件夹中的文件无法直接查看,一般需要配合web服务器触发(如放到Tomcat下用url访问),或使用加载器加载,以下为使用go程序进行加载。

func main() {
	file := "C:\\Users\\Administrator\\Desktop\\test\\伪装者...\\payload.c"
	s,err := ioutil.ReadFile(file)
	if err!=nil{
		fmt.Println("文件打开失败")
	}
	fmt.Println(s)
}

4、删除伪装内容

# /s 删除指定目录和所有子目录及其包含的所有文件
# /q 安静模式。删除目录时,不会提示确认信息
rd /s /q 伪装者...\

利用系统保留文件名创建无法删除文件

利用系统的保留的文件名可以创建无法从图形界面删除文件,只能通过命令行进行删除,以下问系统保留文件名

1、CON
2、COM{0-9}
3、PRN
4、AUX
5、NUL
6、LPT{0-9}

1、使用md或copy命令生成带有保留文件名的文件如:

cp payload.c aux.c

利用Easy File Locker完成驱动机隐藏

在这里插入图片描述

删除方法

1、查询服务状态: sc qc xlkfs

2、停⽌服务: net stop xlkfs //以管理员身份运行

3、删除服务: sc delete xlkfs //以管理员身份运行

为了您和您家人的幸福,请不要利用文中技术在用户未授权情况下开展渗透测试!!!

《中华人民共和国刑法》

第二百八十五条
违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚

方寸明光
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Win10如何使用Attrib +s +a +h +r命令隐藏文件
Alex_ander_的博客
08-31 7390
Win10如何使用Attrib +s +a +h +r命令隐藏文件 win10系统说简单隐藏文件方法,至少可以不让普通用户查看到这类文件。 一:加密 win + R :cmd 输入:attrib +s +a +h +r 文件地址 文件加密完成 原理: ATTRIB显示或更改文件属性ATTRIB[+R|-R][+A|-A][+S|-S][+H|-H][[drive:][path]filename][/S[/D]]+设置属性;-清除属性;R只读文件属性;A存档文件属性;S系统文件属性;H隐藏文件属性; 使
windows权限维持—— 驱动级文件隐藏
mingyqf的博客
02-18 1273
参考:https://www.cnblogs.com/xiaozi/p/7611775.html 驱动隐藏最典型的现象就是系统盘存在以下文件: c:\WINDOWS\xlkfs.dat c:\WINDOWS\xlkfs.dll c:\WINDOWS\xlkfs.ini c:\WINDOWS\system32\drivers\xlkfs.sys 驱动隐藏我们可以用过一些软件来实现,软件名字叫:Easy File Locker 下载链接: http://www.xoslab.com/efl.htm
红队&蓝队&免杀&隐藏文件&横向渗透
Scorpio_m7
03-27 707
1-head请求 在蓝队防守前期要关注扫描行为,HEAD请求头只有两行,响应头较短,无请求体和响应体,速度快,多用于探测页面是否存在,例子: HEAD /edit/db/ HTTP/1.1 Host:220.181.38.150 2-命令开远控 在红队队成功连接webshell后,上传mimikatz,通过mimikatz获取当前主机用户名密码,通过以下命令修改注册表远程开启目标windows的3389端口,实现远程连接。 REG ADD HKLM\SYSTEM\CurrentControlSet\Con
权限维持】window几种隐藏技术
07-31 316
“真正”隐藏文件 使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。 attrib +s +a +h +r c:\test 这样就做到了真正的隐藏,不管你是否显示隐藏文件,此文件夹都看不见 破解隐藏文件: 打开电脑文件夹选项卡,取消”隐藏受保护的操作系统文件“勾选,把”隐藏文件文件夹“下...
后门程序技术
最新发布
weixin_56049214的博客
01-02 498
方法二:(打开电脑文件夹选项卡,取消”隐藏受保护的操作系统文件“勾选,把”隐藏文件文件夹“下面的单选选择“显示隐藏文件文件夹和驱动器”。当使用 attrib +s +a +h +r filename.txt 隐藏文件之后。方法一:attrib -s -a -h -r filename.txt。
046-红队之浅谈基于Windows telemetry的权限维持.pdf
09-20
"红队浅谈基于Windows telemetry的权限维持" Windows Telemetry是一种强大的监控工具,红队可以使用它来维持权限,以下是相关知识点: 一、 Windows Telemetry 简介 Windows Telemetry是Windows操作系统的一个...
红队技巧隐藏windows服务1
08-03
隐藏Windows服务的这种方法对于红队行动非常有用,因为它允许在不引起怀疑的情况下维持权限。然而,它同时也提醒我们,保持系统安全不仅需要防止初始入侵,还必须警惕潜在的持久威胁。理解并应对这些隐藏服务的技巧...
红队笔记技巧,窍门和技巧的串联
02-25
红队笔记 提示,技巧技巧的串联。 当前主题:文件传输
蓝队技巧:查找被隐藏Windows服务项1
08-03
在本文,我们将关注蓝队如何检测隐藏Windows服务,这是红队经常用来隐藏恶意活动的一种方法。隐藏服务可以绕过常规的安全检测,因此识别它们对于提升系统安全性至关重要。 首先,我们可以使用PowerShell脚本来...
PoisonHandler:在红队练习可以使用的横向运动技巧
03-21
红队练习可以使用的横向运动技巧。 Execute-PoisonHandler.ps1 该技术是远程注册协议处理程序并调用它以在远程主机上执行任意代码。这个想法是简单地调用start handler://来执行命令并逃避检测。 此cmdlet创建...
Easy File Locker 文件隐藏 保护
07-27
你是不是电脑里面有些东西不想给别人看到(文件夹或者文档),这个不需要高大上的软件,这个小软件就够了,实践出真知,你自己用就知道了。不知道的可以去百度使用方法。 我举起我的爪子,对天发誓,超级好用的傻瓜式文件保护软件,可以一个按键隐藏,也可以恢复查看的宝贝软件。 下面是文件介绍: Easy File Locker 是一款小巧的文件保护工具,可以为文件提供保护,受保护的文件将不能被访问,不可写入,不可删除,隐藏。当然,您可以根据需要自己设置保护特性,自由度较高。在关闭了程序后,保护依然有效。首次使用时可以设置密码,以后就可以通过密码访问。 Easy File Locker界面简洁,速度快。是一款清爽的好软件。提示:重要文件需要妥善保存!任何文件保护软件都有风险 安装汉化方法: 请针对自己的系统安装Easy File Locker主程序,然后用目录下的汉化程序替换FileLocker主程序即可为简体文界面。 另外告知个清除密码的方法:系统windows目录搜索xlkfs.dll删除,重新安装程序,密码即可清除。 只有少数的选择与合作 不会有太多的选择来处理,当涉及到文件安全性。进口商品有对应的可访问性,写作,知名度和他们是否可以删除一些复选框。一旦设置,选择可以完全关闭应用程序,您的文件保留在配置状态。
文件夹加密隐藏软件(Easy File Locker)1.2汉化版
10-13
一款小巧易用的文件文件夹加密隐藏软件。使用Easy File Locker可以将你的私人文件文件夹加密或隐藏。虽然Easy File Locker 体积小巧,但使用Easy File Locker保护的文件文件夹将使其它用户将无法打开、读取、修改、删除、移动。使用Easy File Locker隐藏文件将完全不可见,即使用在命令行模式下同样无法查看和修改。另外,Easy File Locker并不会改变受保护的文件内容,更不会对系统运行速度产生任何影响。 Easy File Locker 简体文版功能说明: 锁定文件文件夹: 锁定的文件/文件夹的访问保护,用户无法打开,阅读,修改,移动,删除,复制,重命名受保护的文件/文件夹。文件和子文件锁定的文件夹也得到了保护。 隐藏文件文件夹: 你可以隐藏你的私人文件文件夹,使他们完全不可见。 密码保护的图形用户界面和卸载程序: 一旦您设置了密码,在没有正确的密码时,没有人可以启动应用程序或卸载。 提醒: 运行EFL1.2_Setup正常安装 Easy File Locker 1.2,安装完成后,使用FileLocker代替源文件即可为简体文界面!
Win 10 深度隐藏文件夹命令
玩人工智能的辣条哥的博客
09-10 2499
环景: win10 专业版 2019AD域环境 IPguard管控客户端 问题描述: 深度隐藏文件夹命令,打开文件夹选项查看–显示隐藏文件文件夹和驱动器,也不会显示出来 解决方案: 使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性 1.打开cmd CD到文件夹夹所在盘,然后输入命令attrib +s +a +h +r 文件夹名字即可,如果是文件的话,就输入相应的文件名也是一样的,也可以使用通配符?和*,不过通配符都是对于文件来说而
windows权限维持的方法
小小猪的博客
01-04 5932
windows权限维持的方法 影子账户: 使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用户,但是在计算机管理页面还是可以看到,需要通过修改注册表来隐藏 打开注册表(HKEY_LOCAL_MACHINE\SAM\SAM),修改SAM权限,赋予adminitrators完全控制权限 重启之后,将Administr.
php后门文件处理方式_PHP后门隐藏的一些技巧总结
weixin_33760049的博客
03-09 876
前言如果想让自己的Webshell留的更久一些,除了Webshell要免杀,还需要注意一些隐藏技巧,比如隐藏文件,修改时间属性,隐藏文件内容等。1、隐藏文件使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。attrib +s +a +h +r shell.php //隐藏shell.php文件2、修改文件时间属性当你试图在一...
Windows应急响应-文件隐藏
qq_41274349的博客
09-02 1470
windows隐藏文件
修改文件属性(attrib)
weixin_30820077的博客
08-22 403
atrrib 命令:   // 描述:     (Attribute)     显示,设置或删除分配给文件或目录的属性。 如果在没有参数的情况下使用,attrib将显示当前目录所有文件的属性。   // 语法:     attrib [{+|-}r] [{+|-}a] [{+|-}s] [{+|-}h] [{+|-}i] [<Drive>:][<Path>][&...
python修改文件的属性
weixin_34107955的博客
03-01 692
1、执行attrib系统命令 ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [drive:][path][filename] [/S [/D] [/L]] + 设置属性。 - 清除属性。 R 只读文件属性。 A 存档文件属性。 S 系统文件属性。 H 隐藏文件属性。 I 无内容索引文件属性。 [dr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方寸明光

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值