红队笔记之文件隐藏技巧在Windows权限维持中的应用

最新推荐文章于 2024-10-11 17:24:50 发布
原创 最新推荐文章于 2024-10-11 17:24:50 发布 · 3.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #安全 #渗透测试

本文探讨了如何利用ATTRIB修改文件属性隐藏文件,通过CLSID伪装文件夹,创建畸形目录以规避检测,以及利用系统保留文件名创建不可见文件。同时介绍了利用EasyFileLocker隐藏驱动器的方法,以及相关法律警示。

在这里插入图片描述

文章目录

利用ATTRIB修改文件属性隐藏

使⽤attrib +S +A +H +R命令就是把原本的⽂件夹增加了系统⽂件属性、存档⽂件属性、只读⽂件属性和隐藏⽂件属,这样外部是无法看到文件的, 除非在使用命令行的方式进行查看

# 为文件添加属性
attrib +S +A +H +R test.txt
# 为文件清除属性
attrib -S -A -H -R test.txt

ATTRIB的详细命令如下

ATTRIB [+R | -R] [+A | -A] [+S | -S] [+H | -H] [+O | -O] [+I | -I] [+X | -X] [+P | -P] [+U | -U]
       [drive:][path][filename] [/S [/D]] [/L]

  +   设置属性。
  -   清除属性。
  R   只读文件属性。
  A   存档文件属性。
  S   系统文件属性。
  H   隐藏文件属性。
  O   脱机属性。
  I   无内容索引文件属性。
  X   无清理文件属性。
  V   完整性属性。
  P   固定属性。
  U   非固定属性。
  
  [drive:][path][filename]
      指定属性要处理的文件。
  /S  处理当前文件夹及其所有子文件夹中
      的匹配文件。
  /D  也处理文件夹。
  /L  处理符号链接和
      符号链接目标的属性

使用CLSID伪装文件夹

CLSID是Windows的文件标识符,也称类标识符,位于注册[HKEY_LOCAL_MACHINE\Software\Classes\CLSID]下,通常由32个十六进制数构成,其一般格式是“{八位数-四位数-四位数-

最低0.47元/天 解锁文章
红队&蓝队&免杀&隐藏文件&横向渗透
Scorpio_m7
03-27 838
1-head请求 在蓝队防守前期要关注扫描行为,HEAD请求头只有两行,响应头较短,无请求体和响应体,速度快,多用于探测页面是否存在,例子: HEAD /edit/db/ HTTP/1.1 Host:220.181.38.150 2-命令开远控 在红队队成功连接webshell后,上传mimikatz,通过mimikatz获取当前主机用户名密码,通过以下命令修改注册表远程开启目标windows的3389端口,实现远程连接。 REG ADD HKLM\SYSTEM\CurrentControlSet\Con
红队笔记之巧用系统启动项玩转Windows权限维持
明光札记
12-06 1431
文章目录启动文件夹利用所在位置利用方法组策略的利用所在位置利用方法注册表利用所在位置利用方法方法一:使用reg add进行添加方法二:使用Metasploit后渗透模块添加方法三:使用SharPersist工具方法四:基于msdtc的dll劫持后门 Windows中有很多自动启动程序的方法,这些方法稍加利用可以即可帮助我们完成Windows下的权限维持,下文将分别从启动文件夹利用,组策略利用,注册表利用分别展开 启动文件夹利用 启动文件夹利用思路较为简单,即将Payload文件放在启动文件夹,再利用文件
windows权限维持—— 驱动级文件隐藏
mingyqf的博客
02-18 1685
参考:https://www.cnblogs.com/xiaozi/p/7611775.html 驱动隐藏最典型的现象就是系统盘中存在以下文件: c:\WINDOWS\xlkfs.dat c:\WINDOWS\xlkfs.dll c:\WINDOWS\xlkfs.ini c:\WINDOWS\system32\drivers\xlkfs.sys 驱动隐藏我们可以用过一些软件来实现,软件名字叫:Easy File Locker 下载链接: http://www.xoslab.com/efl.htm
权限维持】window几种隐藏技术
07-31 419
“真正”隐藏文件 使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。 attrib +s +a +h +r c:\test 这样就做到了真正的隐藏,不管你是否显示隐藏文件,此文件夹都看不见 破解隐藏文件: 打开电脑文件夹选项卡,取消”隐藏受保护的操作系统文件“勾选,把”隐藏文件文件夹“下...
Win10如何使用Attrib +s +a +h +r命令隐藏文件
Alex_ander_的博客
08-31 9549
Win10如何使用Attrib +s +a +h +r命令隐藏文件 win10系统说简单隐藏文件方法,至少可以不让普通用户查看到这类文件。 一:加密 win + R :cmd 输入:attrib +s +a +h +r 文件地址 文件加密完成 原理: ATTRIB显示或更改文件属性ATTRIB[+R|-R][+A|-A][+S|-S][+H|-H][[drive:][path]filename][/S[/D]]+设置属性;-清除属性;R只读文件属性;A存档文件属性;S系统文件属性;H隐藏文件属性; 使
后门程序技术
weixin_56049214的博客
01-02 919
方法二:(打开电脑文件夹选项卡,取消”隐藏受保护的操作系统文件“勾选,把”隐藏文件文件夹“下面的单选选择“显示隐藏文件文件夹和驱动器”。当使用 attrib +s +a +h +r filename.txt 隐藏文件之后。方法一:attrib -s -a -h -r filename.txt。
红队笔记渗透测试流程以及各环节技术纲要
明光札记
11-29 3896
渗透测试流程以及技术刚要,技术细节不断完善中,欢迎收藏本文
2020年最新应急响应实战技巧与案例分析
权限维持是指攻击者在成功入侵系统后采取的一系列行动,用以保持对系统的长期控制。这包括: - 创建后门账户和隐藏的管理员账户 - 安装持久化恶意软件,如rootkits - 利用系统服务和计划任务实现权限升级和持久化 - ...
Windows应急响蓝安服面试
最新发布
saber的博客
10-11 1026
整理蓝队应急响应常见方式和方法,为初入蓝队师傅提供小小帮助,常见远控工具CS MSF介绍面试回答方式
Win 10 深度隐藏文件夹命令
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
09-10 2910
环景: win10 专业版 2019AD域环境 IPguard管控客户端 问题描述: 深度隐藏文件夹命令,打开文件夹选项查看–显示隐藏文件文件夹和驱动器,也不会显示出来 解决方案: 使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性 1.打开cmd CD到文件夹夹所在盘,然后输入命令attrib +s +a +h +r 文件夹名字即可,如果是文件的话,就输入相应的文件名也是一样的,也可以使用通配符?和*,不过通配符都是对于文件来说而
Easy File Locker 文件隐藏 保护
07-27
你是不是电脑里面有些东西不想给别人看到(文件夹或者文档),这个不需要高大上的软件,这个小软件就够了,实践出真知,你自己用就知道了。不知道的可以去百度使用方法。 我举起我的爪子,对天发誓,超级好用的傻瓜式文件保护软件,可以一个按键隐藏,也可以恢复查看的宝贝软件。 下面是文件介绍: Easy File Locker 是一款小巧的文件保护工具,可以为文件提供保护,受保护的文件将不能被访问,不可写入,不可删除,隐藏。当然,您可以根据需要自己设置保护特性,自由度较高。在关闭了程序后,保护依然有效。首次使用时可以设置密码,以后就可以通过密码访问。 Easy File Locker界面简洁,速度快。是一款清爽的好软件。提示:重要文件需要妥善保存!任何文件保护软件都有风险 安装汉化方法: 请针对自己的系统安装Easy File Locker主程序,然后用目录下的汉化程序替换FileLocker主程序即可为简体中文界面。 另外告知个清除密码的方法:系统windows目录搜索xlkfs.dll删除,重新安装程序,密码即可清除。 只有少数的选择与合作 不会有太多的选择来处理,当涉及到文件安全性。进口商品有对应的可访问性,写作,知名度和他们是否可以删除一些复选框。一旦设置,选择可以完全关闭应用程序,您的文件保留在配置状态。
attrib命令影藏在磁盘中的文件
Developer_data的博客
11-21 747
点击windows+R键 输入cmd  回车 输入attrib +a +s +h +r  D:/123.txt   刷新一下,即消失了   (注:123.txt为自定义文件,D:/123.txt为文件的绝对位置) 输入attrib -a -s -h -r D:/123.txt    刷新一下,即出现了
php后门文件处理方式_PHP后门隐藏的一些技巧总结
weixin_33760049的博客
03-09 983
前言如果想让自己的Webshell留的更久一些,除了Webshell要免杀,还需要注意一些隐藏技巧,比如隐藏文件,修改时间属性,隐藏文件内容等。1、隐藏文件使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。attrib +s +a +h +r shell.php //隐藏shell.php文件2、修改文件时间属性当你试图在一...
windows权限维持的方法
小小猪的博客
01-04 6412
windows权限维持的方法 影子账户: 使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用户,但是在计算机管理页面中还是可以看到,需要通过修改注册表来隐藏 打开注册表(HKEY_LOCAL_MACHINE\SAM\SAM),修改SAM权限,赋予adminitrators完全控制权限 重启之后,将Administr.
修改文件属性(attrib)
weixin_30820077的博客
08-22 506
atrrib 命令:   // 描述:     (Attribute)     显示,设置或删除分配给文件或目录的属性。 如果在没有参数的情况下使用,attrib将显示当前目录中所有文件的属性。   // 语法:     attrib [{+|-}r] [{+|-}a] [{+|-}s] [{+|-}h] [{+|-}i] [<Drive>:][<Path>][&...
CMD中使用attrib命令设置文件只读、隐藏属性详解
一路奔跑94的博客
04-26 5977
本文介绍一个cmd下的一个attrib.exe的小程序,它可以用来设置文件的属性。我们知道文件的属性有只读、隐藏、系统、存档和无内容索引等5个,只读和隐藏用得比较多,另外三个用得比较少。 不知道大家有没有用过attrib.exe这个cmd下的小程序,它可以用来设置文件的属性。先来看看它的帮助文件。 C:\Users\splaybow>help attrib 显示或更改文件属性。 ATT...
红队隐藏技巧
渗透测试研究中心
05-12 670
近期因为都懂的原因做了回蓝队,还偶尔客串了下和客户对接的角色,根据接触到的各家设备的特点写了一些总结。从红队的视觉下看如何防止被溯源。 ---8sec.cc1、蜜罐系统浏览器使用注意单独隔离的浏览器 在渗透过程中尽量使用与常用浏览器不同的浏览器,如:Chrome常用,渗透使用firefox。使用无痕模式 firefox和Chrome都有无痕模式,如果对目标资产不了解的情况下尽量开启无痕模式进行...
应急响应实战笔记03权限维持篇(1)
qq_59468567的博客
02-20 1062
攻击者在获取服务器权限后,通常会用一些后门来维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。
红队渗透测试Windows权限维持技术工具包
CobaltStrike反射DLL_Windows权限维持工具包_用于红队行动中通过系统服务计划任务注册表WMI事件BITS任务DLL劫持用户克隆等多”,从名称可以看出,这是一套专为红队(Red Team)在高级持续性威胁(APT)模拟、渗透...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方寸明光

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值