WINDOWS命名漏洞

最新推荐文章于 2024-04-18 10:10:32 发布
最新推荐文章于 2024-04-18 10:10:32 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 安全 文章标签: windows dos 加密 杀毒软件 linux 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/drefong/article/details/5222086
版权

利用WINDOWS命名漏洞等建立的特殊文件或文件夹。可以用iceword删除。

下面介绍对他们的其他操作及原理:

  0, 相关dos命令

  /?         任何一个dos命令后加该参数表示查看帮助,最常用的命令!!

  md         建立文件夹;可以建立多层目录下的文件夹,比如 mkdir /a/b/c/d 。

  copy     复制文件

  xcopy     复制文件和目录树

  rd         删除文件夹,参数/s表示删除目录树,即包括子文件夹和文件;/q表示不用确认

  del         删除文件,可以使用通配符。/f强制删除只读文件,/q表示不用确认

    在删除命令后面跟上.参数就可以避免Windows检查文件名的合法性,

        因此可以删除含有Windows保留字或非法名字的文件。

  dir /X      显示为非 8dot3 文件名产生的短名称。

以下均假设当前目录为在D盘根目录,在命令行窗口输入D:回车即可

UNC 路径格式,就是网上邻居的路径格式,比如d:/temp的UNC 路径为//./d:/temp

1,利用Windows以设备命名文件夹拒绝服务漏洞

新建以下这些名字的文件(或文件夹):aux、com1、com2、prn、con、nul,系统会提示无法建立。

我们可以在命令行窗口中建立,然后将文件copy进去,这样,文件打不开也删不掉。

实现过程:

在MS-DOS窗口的命令行提示符下,通过"cd"命令进入到要创建文件夹所在的目录,

之后在DOS命令行下再输入字符串命令"md+设备名+/",单击回车键后,

在指定目录下一个名称为设备名的特殊文件夹就出现了。

考虑到设备文件夹在Windows状态下是不能被删除的,为此善于使用设备文件夹,

我们有时能可以用它来保存一些重要的信息,以防止这些信息被他人随意删除掉。

对于含有保留字的文件,当我们发出删除指令的时候,Windows会检查被删除的文件是否有合法的路径,如果你的文件名含有Windows认为的非法字符或保留字,那么删除就会失败。
有3种方法可以删除这类文件:

a)采用Linux或其他非Windows的操作系统,以Linux/Unix为例,可以使用rm命令删除.

b)使用命令行工具的一个特殊参数解决:

RD. 设备名/

DEL.文件名

c)对于文件,如果可以使用通配符,那么也可以采用通配符解决:

DEL PR?.*

DEL LPT?.*

d)要删除d盘下的 aux 文件夹,可在命令提示符下执行:rd /s //./d:/aux

再比如要删除d盘temp文件夹下的 nul.exe 文件,在命令提示符下执行:del //./d:/temp/nul.exe 即可。

2,利用WINDOWS命名漏洞命名的文件, 比如test.,即文件最后有一个点.

    建立这个文件的话可以用 md test../ 

    也可以新建一个test,然后用WINRAR改test为test../

    这个文件夹双击无法打开,但是可以在运行窗口输入 d:/test../ 进入,进入后可进行文件的各项操作。

    删除的话用        rd /s /q test..

    如果test.是文件的名字,那么删除要用    del /f /q test../

3.名为空的文件夹.这里所说的空名文件夹,主要指的是文件夹名称为空白,具体地说就是文件夹的名称为空格字符,这类特殊文件夹不仅可以在MS-DOS窗口中被正常访问,而且还可以在Windows窗口中被访问到,甚至我们能借助WinZip之类的压缩工具来对其进行压缩或解压缩操作。

  (1)建立使用 md "/test/ /"

  这时可以看到D盘根目录下的test文件夹下多了一个没有名字的文件夹,双击可以打开,也可以在运行中输入D:/test/ /

  可以在里面建立文件或者删除文件。

  删除用  rd "D:/test/ /"

(2)在MS-DOS窗口的命令行提示符下,

通过"cd"命令进入到要创建空白文件夹所在的目录,

之后在DOS命令行下再输入字符串命令"md+空格",紧接着按下键盘上的Alt功能键,同时在数字小键盘上直接输入数字"255",这样一来空格字符的ASCII码就会自动出现在"md"命令之后,单击回车键后,在指定目录下一个名称为空白的特殊文件夹就出现了。善于使用空白文件夹,可以将一些重要的隐私信息隐藏其中,从而实现保护隐私安全的目的。

4.长文件名或非法字符导致文件或文件夹无法删除

可以暂时把路径中某些目录改名字, 或在命令行模式下使用8.3格式。

例如,"Linux Faq"的目录变成8.3就是"LINUXF~1"了,通过"Linuxf~1"就能进入目录了,

此后就可以使用Del命令删除指定文件了。如果需要删除目录,则使用Rd命令。 

也可以进入要删除文件的目录后输入"dir>del.bat",把当前目录的文件列表输入到批处理命令文件"del.bat"中,

然后修改该批命令文件,仅保留文件或目录名,并在文件或者目录名称前增加"del "或者"rd",运行批处理命令即可删除。

(经常有rar文件无法解压,改个文件名后就可以了)

还有一种方法,就是利用windows目录长度不能超过256字节的特性,可以利用subst命令将

一长度达到256字节的目录映射为虚拟盘:"subst b: testtesttesttesttesttesttes…………………………"。

然后在虚拟出来的b:中建立一个长文件名目录"testtesttesttestte…………",然后将一可执行文件copy到该

路径下,去掉虚拟盘符映射:"subst b: /d",这样用资源管理器是无法进入该目录的,杀毒软件也无法扫描

该路径下的文件,而且在资源管理器中是无法删除该目录的,但可以使用8.3文件格式来运行该可执行文件:

"c:/testte~1/testte~1/test.exe",从而达到隐藏的目的。

5.改文件名称,系统自身带有很多的CLSID。用的就是它了.

eg:要隐藏的文件名为 a,则把它改成 a.{CLSID} 这里的CLSID有很多,如下只是一部分:

文件名.{00020810-0000-0000-C000-000000000046}  excel文档

文件名.{00020900-0000-0000-C000-000000000046}    word

文件名.{5ef4af3a-f726-11d0-b8a2-00c04fc309a4}  回收站(满)

(这3个只是文件夹图标变了,打开后还是隐藏不了,原形毕露。)

文件名.{2227a280-3aea-1069-A2de-08002b30309d}  打印机

文件名.{21ec2020-3aea-1069-A2dd-08002b30309d}    控制面板

文件名.{208d2c60-3aea-1069-A2d7-08002b30309d}  网上邻居

文件名.{992cffa0-F557-101a-88ec-00dd010ccc48}    拨号上网

文件名.{1a9ba3a0-143a-11cf-8350-444553540000}    收藏夹

(比较特别,双击打不开,用右键盘第2个"打开"就行了... )

文件名.{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}    该名之后目录为空

文件名.{645FF040-5081-101B-9F08-00AA002F954E}  回收站(空)

文件名.{20D04FE0-3AEA-1069-A2D8-08002B30309D}  我的电脑

(这一办法也是比较普通的...)

或者在需要隐藏的文件夹里建立desktop.ini文件也可以达到效果 ,

把下面的批处理保存为.bat文件,在要隐藏的文件里执行就可以了:

@echo off

echo [.ShellClassInfo]>desktop.ini

echo CLSID={645FF040-5081-101B-9F08-00AA002F954E}>>desktop.ini

REM 改进后有些地方如有空格的地方也可以用所以加上"号

attrib +s +h "%cd%"

rem 其实只要将上面加上隐藏就可以了不用将下面这行隐藏

attrib +s +h desktop.ini

echo cacls %cd% /t /c /e /g %username%:f>../恢复隐藏.bat

echo attrib -s -h %cd%>>../恢复隐藏.bat

cacls %cd% /t /c /e /p %username%:n

原理就是同上面的重命名差不多...

======================================================

下面举一个具体的例子,引用别人的:

最近使用了一款名叫 高强度文件夹加密大师,网上有强人用winrar也把它破了,在这就不说了

该软件利用的是windows的一个文件名漏洞,即windows不能删除com1.……和以"."最后等命名的文件夹(这种文件夹名字只有在dos 模式才能创建,而且不是常规方式md c:/xxx../        注意最后的"/"。com1文件夹的创建方法,"md //./c:/com1",删除输入"rd //./c:/com1";)。即,这哪是加密    只是简单得把"加密"的文件或文件夹放到以着种名字命名的文件夹下面

不小心把加密数据删除掉了,数据没了好办,用finaldata打开那个假的回收站就有了。可是

留下个隐藏的Th…….db文件夹,打开后是-sys文件夹-然后是com1.{21ec2020-3aea-1069-a2dd-08002b30309d}文件夹,该文件夹用的是控制面板的图标。(因为{}中的windows中的地址

打印机.{2227A280-3AEA-1069-A2DE-08002B30309D}

控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}

我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}

回收站.{645FF040-5081-101B-9F08-00AA002F954E}

于是双击该文件夹便打开了控制面板,但地址栏中显示的是该com1.{21ec2020-3aea-1069-a2dd-08002b30309d}文件夹的地址。

1、 com1.{21ec2020-3aea-1069-a2dd-08002b30309d}这个文件夹是关键,利用了一个WINDOWS的漏洞,即使用AUX,COM1,COM2,PRN,CON,NUL为文件名建立的文件(夹),即不能打开也不能删除。所以程序会将待加密的文件复制到此文件夹中,使其无法访问和删除,此其一;

2、在最后一级目录中有一个文件录名称为《 XXX.》,请注意文件名后的《.》,当建立的文件夹名称包含这个小点后,同样,该文件录即不能打开,也不能删除,LZ把它放在这里应该是为了保险起见,或者出于其它目的,俺还不太确定,此其二;

3、 com1.{21ec2020-3aea-1069-a2dd-08002b30309d}里{}内的ID为控制面板,RECYCLED为程序自动建立的文件夹,中有desktop.ini文件以及{645FF040-5081-XXXX-9F08-00AA002F954E}文件夹,其作用都是为了将文件录伪装成回收站,此其三。

知道了原理只能算是半途,因为删除会报错windows中删除会出现地址不存在的错误

而DOS下 rd  d:/ XXX/com1.{21ec2020-3aea-1069-a2dd-08002b30309d} 也不行

然后是rd  D:/XXX/ 目录非空,不行。接着用 rd /s D:/XXX/  提示是否删除,输入Y,回车。

报错,程序正被使用……。这步就是关键了打开任务管理器 ,结束explorer.exe进程!

再次Y,回车。OK了。

drefong
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
删除com1.{645FF040-5081-101B-9F08-00AA002F954E}文件
博游天下,铭记于心——Jaafar之家
11-24 4989
只需下面两句保存为delall.bat,然后把文件拖动到这个文件图标上面就可以删除了,然后也可以删除相应的目录了: 引用: del /f /s /q \\?\"%1" rd /s /q \\?\"%1" 解释下:其实\\?是删除设备文件的专用前缀,仅此而已。\\.也可以。 %1是指拖到上面的文件的全路径。 首先用del把目录里面的文件都删除,然后用rd删除目录。
关于com1.{21ec2020-3aea-1069-a2dd-08002b30309d}的东东
热门推荐
Akuma专栏
03-30 1万+
  机器里有个G:/RECYCLER/S-1-5-21-1060284298-811497611-11778920086-500/INFO2/Di1 /com1.{21ec2020-3aea-1069-a2dd-08002b30309d}的文件,一点就打开了控制面板,想删又删不掉,以为是个病毒,上网一搜,张了个大见识。现把相关资料整理如下:他们是利用WINDOWS命名漏洞等建立的特殊文件或文件
网络安全常见十大漏洞总结(原理、危害、防御)
最新发布
z099164的博客
04-18 932
预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了。所以即使你后面输入了这些SQL命令,也不会被当成SQL命令来执行了,因为这些SQL命令的执行,必须先通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为SQL命令来执行的,只会被当成字符串字面值参数。每类字符至少包含一个。如果某类字符只 包含一个,那么该字符不应为首字符或尾字符。
利用WINDOWS命名漏洞等建立的特殊文件或文件夹
TrueMan's Blog
08-02 2000
参考了很多文章,搜集了很多资料整理而成。 好的用途可以用来隐藏个人资料,防止误删,病毒免疫等等。 至于坏的方面,当然也可用来隐藏木马等等,就看你怎么用了。 还有一个没有搞明白,资料上也没找到,请知道的指点一下, 名称里含有"\"的文件或文件夹如何建立和删除。 下面进入正
windows文件命名特性利用漏洞
weixin_30653097的博客
07-18 312
windows文件命名特性利用 0x00 windows不能以以下这些名字命名文件或文件夹: aux、com1、com2、prn、con、nul,因为这些名称都属于设备名称,等价于DOS设备,但我们可以通过cmd来创建这样的文件 >md com2\ >md \\.\d:\com1\\ >copy test.txt \\.\d:\com1.txt #注意文件夹名例如aux...
Windows10为什么无法将文件命名为aux,com1,com2,prn,con,nul等?
一个努力吃胖的小瘦子的博客
06-17 4154
这个问题是我最近在跑一个深度学习项目时遇到的,当时还以为是源码有问题,最后Google查到是因为操作系统保留字的原因,特此记录一下。在Windows系统中,以Win10为例,有时会发现将一些文件进行重命名的时候会出现“指定的设备名无效”的情况,如果你有此类问题,看看是否使用了 aux,com1,com2,prn,con,nul 这些名称! 1. 原因 因为这些关键词是 Windows 操作系统定义的设备名称,是保留关键字,不允许使用。发现不能使用的关键词有如下几个: 2. 解决方法 将该文件重命名即可解决
windows系统漏洞加固
04-18
2.8 检查是否已删除可匿名访问的共享和命名管道(低危) 三. 日志审计 3.1 检查是否已正确配置应用程序日志(低危) 3.2 检查是否已正确配置审核(日志记录)策略(低危) 3.3 检查是否已正确配置系统日志(低危) 3.4...
最新AWVS/Acunetix-23.11.2311231-Windows
01-16
为客户添加了为其 HashiCorp 集成定义命名空间的选项 增强的报告功能,在 .csv 导出中提供更多属性,并可选择在 UI 中的更多位置进行 .csv 导出 在“新扫描策略” > “忽略参数”下添加了一个选项,以允许客户将...
windows暂停更新,恢复更新文件
08-07
4. 如果“WindowsUpdate”或“AU”项不存在,右键点击“WindowsUpdate”父项,选择“新建”,然后创建一个“项”(Key),命名为“AU”。 5. 在“AU”项下,右键点击右侧空白区域,选择“新建”,创建以下 DWORD 值...
rpc2socks:漏洞利用后工具可通过Windows主机使用命名管道通过SMB上的可扩展自定义RPC协议通过Windows主机启用SOCKS隧道
03-20
rpc2socks是一个客户端-服务器解决方案,允许从Unix或Windows主机在Windows目标上删除并远程运行自定义RPC + SOCKS-SMB的自定义服务器应用程序。 客户端/服务器对可以用作常规的SOCKS5隧道(请参见下面的专用部分)...
Windows6.1KB2999226.zip
12-29
这可能意味着压缩包内包含了两个版本的补丁,分别对应32位和64位系统,通常它们会被命名为类似"Windows6.1-KB2999226-x86.exe"和"Windows6.1-KB2999226-x64.exe"的形式。安装时,用户需要选择与自己系统匹配的文件...
windows 不能建立 aux 这样文件名的文件
amei113的专栏
05-08 4617
windows 下不能建立 “aux” 这样名字的文件,后缀名不限,原因是 aux 是 windows 的音频设备,在任何地方都不能命名这样的文件/文件夹名称。
win7下创建名为aux.c的文件提示“指定的设备名无效”
aflyeaglenku的博客(QQ1010316426)
06-03 3006
win7下创建名为aux.c的文件提示“指定的设备名无效”
中毒后回收站我的文档出错解决方法
iComputer
03-28 999
上次一个朋友电脑中毒了,回收站和我的文档图标都变为ie图标了,以下是解决方法:运行 regedit 表  查找“项”{645FF040-5081-101B-9F08-00AA002F954E},这个是回收站,右键权限,在 完全控制 项 打勾,其子项权限相应修改,改了就可以删除了,删除此项,再点我给的注册文件。新建TXT型文本文件,改扩展名txt改为reg(注意扩展名显示后改动),将下面内容存入
windows 9X, 2000, xp所有版本注册表设置(2)
weixin_33958366的博客
01-16 302
《不显示上次登陆的用户名》[HKEY_LOCAL_MACHINENetworkLogon](WIN9X)"DontShowLastUser"=dword:00000001[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem](WIN2000/XP)"DontDisplayLastUser...
Windows注册表内容详解(转载)
starchao
06-18 3264
前提 一、什么是注册表 注册表是windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。 注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注册表数据库来统一集中地管理系统硬件设施、软件配置等信息,从而方便了管理,增强了系统的稳定性。 二、注册表的功能 ​ 刚才我们看到了,注册表中记
对目录 aux.{645FF040-5081-101B-9F08-00AA002F954E}的删除
iushnauh的专栏
07-15 726
在装prayaya v3 口袋系统的时候,经过加密后又删除了软件相应文件,最后剩下一个aux文件夹删除不掉,解决方案如下: 例如aux文件夹在J:盘下 1. cmd-->J: 2. cd aux~1.{64 3. rd ....\aux\ 4. rd ....\ 5. cd .. 6. rd aux~1.{64 创建过程如下: 1. cmd-->J: 2. mkdi...
文件藏匿新方法:伪装成回收站,点开也是回收站!
weixin_47513791的博客
07-19 677
目录工具/材料方法藏匿提取其他 工具/材料 WinRAR 待加密的文件 方法 藏匿 在一个位置新建一个文件夹,将待加密文件移动至此文件夹内。 将文件夹重命名为 “文件夹名.{645ff040-5081-101b-9f08-00aa002f954e}” 。 完成。 提取 打开 “WinRAR” ,定位至文件夹位置。 重命名。 完成 其他 已下载的程序文件的清除程序.{8369AB20-56C9-11D0-94E8-00AA0059CE02} 公文包.{85BBD920-42A0-1069-A2E
windows系统下代码执行漏洞
07-25
根据引用\[1\],在受影响版本的Windows系统中存在绑定raw socket的应用程序时,TCPIP驱动程序在处理错误的ICMP包时存在内存漏洞,攻击者可以利用这个漏洞向目标计算机发送一个报头中包含一个碎片IP的ICMP数据包,从而导致Windows系统的tcpip.sys驱动崩溃或远程执行恶意代码。这个漏洞命名为"微软多个Windows系统存在远程代码执行漏洞(ICMP协议)",漏洞类型为代码注入,发现时间为2023年3月15日。该漏洞的影响范围广泛。\[1\] 根据引用\[2\],微软官方已发布了升级补丁来修复这个漏洞。建议用户尽快升级程序,可以通过打开Windows Update并点击检查更新按钮来下载和安装相关的安全补丁。安装完毕后,需要重启服务器并检查系统运行情况。此外,还可以关停SMB服务或使用安全组公网入、内网入方向策略来禁止445、139端口的访问,以增加系统的安全性。\[2\] 根据引用\[3\],受影响的Windows系统版本包括Windows 10 v1903-1909 x64、Windows 10 Version 1903 for 32-bit Systems、Windows 10 Version 1903 for x64-based Systems、Windows 10 Version 1903 for ARM64-based Systems、Windows Server, Version 1903 (Server Core installation)、Windows 10 Version 1909 for 32-bit Systems、Windows 10 Version 1909 for x64-based Systems、Windows 10 Version 1909 for ARM64-based Systems、Windows Server, Version 1909 (Server Core installation)。\[3\] #### 引用[.reference_title] - *1* [微软多个 Windows 系统存在远程代码执行漏洞(ICMP协议)(MPS-2023-1376)](https://blog.csdn.net/murphysec/article/details/129559338)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [【操作系统安全漏洞 】解决CVE-2017-11780:Microsoft Windows SMB Server远程代码执行漏洞](https://blog.csdn.net/weixin_26767391/article/details/119620921)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [【漏洞复现】Windows SMB远程代码执行漏洞(CVE-2020-0796)](https://blog.csdn.net/qq_52549196/article/details/126485940)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值