首页/WebShell/正文
webshell 隐藏、创建畸形目录

 2021年11月28日 15:49:18  阅读 213  评论 0

摘要:说到隐藏 WebShell 的方法,从最初的包含图片(#include file="a.jpg")、 设置文件隐藏属性(Fso 组件可以做到,完全支持),再到较早的畸形目录、 特殊文件名(两年前开始流行),或者两者结合使用(例如:c:\a.\aux.txt), 直到现在的驱动级隐藏(大约一年半前开始流行),这些小黑客们也算是有一点进步吧…… 先扫盲,普及一下相关知识: 畸形目录:  目录名中存在一个或多个. (点、英文句号) 特殊文件名: &nb

说到隐藏 WebShell 的方法,从最初的包含图片(#include file="a.jpg")、 设置文件隐藏属性(Fso 组件可以做到,完全支持),再到较早的畸形目录、 特殊文件名(两年前开始流行),或者两者结合使用(例如:c:\a.\aux.txt), 直到现在的驱动级隐藏(大约一年半前开始流行),这些小黑客们也算是有一点进步吧…… 先扫盲,普及一下相关知识: 

畸形目录:  目录名中存在一个或多个. (点、英文句号) 

特殊文件名:  其实是系统设备名,这是 Windows 系统保留的文件名,普通方法无法访问, 主要有:lpt,aux,com1-9,prn,nul,con,例如:lpt.txt、com1.txt 

驱动级隐藏:  由于这些小黑客们都没有能力编写驱动,所以主要是借助一些第三方软件进行隐藏, 例如:Easy File Locker 1.3,如今很流行,底下会详细讲。 

其他方法:  循环锁定文件,一两年前曾经很火爆,首先弄一个非木马脚本(不会被杀), 只有简单的文件读写功能,然后在一个 24 小时运行的服务器上,使用程序每隔一秒请求一次该脚本, 该脚本每次执行时会检查目标文件(某个挂马或者黑帽 SEO 的文件)的大小以及属性是否正确, 如果不是,那么就删除,然后重写,在设置属性,从而达到“文件锁定”的目的, 该方法一般和畸形目录+特殊文件名配合使用。 

另类方法:  Aspx 可以打开文件,但不关闭句柄,在此期间该文件就无法删除或修改, 有效期直到下次 IIS 或服务器重启。 如果无法提权,但是支持低权限运行程序,那就可以写一个简单的程序传上去, 低权限锁定文件,直到该进程结束或服务器重启,锁定方法可以参考上边的, 例如循环监视锁定,或者文件句柄……


以上这些隐藏方法,如今已经被大量应用到黑帽 Seo、挂马、关键词优化等非法活动中了, 各大站长、管理员深受其害…… 畸形目录、特殊文件名的创建、删除方法都很简单: 

畸形目录:  只需要记住将一个点换成两个点就行了,例如: 创建一个“a..”目录:md c:\a..\,实际显示为:c:\a.\,普通方法无法访问, 以此类推,也可以为多个点…… 删除的方法也一样:rd /s /q c:\a..\ 

特殊文件名:  稍微复杂点,普通的路径访问是无法访问的,需要用这种方式的路径: \\.\c:\aux.txt 或\\?\c:\aux.txt 或\\计算机名\c:\aux.txt(网上邻居形式的路径), 例如: 创建一个文件:echo hello>\\.\c:\aux.txt 读取该文件内容:type \\.\c:\aux.txt 删除该文件:del /f /q /a \\.\c:\com1.txt 很简单,是吧,好的,现在我们挑战更复杂一点的…… 畸形目录+ 特殊文件名:


创建:  md c:\a..\ echo hello>\\.\c:\a..\aux.txt 

读取:  type \\.\c:\a..\aux.txt 删除的方法已经不能用刚才的了,需要这样: rd /s /q \\.\c:\a..\ (还有些其他的特殊路径,可以参考:带点文件夹的创建与删除、 【技巧】名字带“\”文件夹的创建与删除 ) 很好,现在,你已经学会了如何处理这种目录、文件了,以上的操作, Asp 使用 Fso 组件完全可以做到,完全支持这种路径, 也就是说普通的 WebShell 权限就可以完成了…… \(^o^)/ 至于“其他方法”和“另类方法”的清理就比较简单了,例如: 

其他方法:  找出可疑脚本,然后删除即可,可以搜索关键词,例如 Asp 中的: FSO、FileSystemObject、OpenTextFile、CreateTextFile、CopyFile、DeleteFile、.Write 等…… 其实最简单的方法是查看 IIS 日志,看那个文件被频繁大量请求, 然后找出该文件,然后你懂的…… 此方法经常配合畸形目录、特殊文件名、包含图片等结合使用, 使用刚才讲过的方法清理即可。 

另类方法:  比较简单了,找出可疑进程,最明显的是用户名是 IIS 的账户,结束掉,然后删除该文件。


最后重启 IIS 即可,各种锁定文件句柄的方法统统会失效,或者干脆重启服务器。 再提一下,一般,一个有价值的网站,他们不会轻易放弃的,会留下一堆后门, 各种文件中插入一句话,保留原来的漏洞或者人为的制造一个漏洞, 即使所有后门都被清理,依旧可以拿下! 而且还会定期检查,有人还使用软件 24 小时监控挂马的页面,每秒一次, 发现不存在某个关键词就报警,然后攻击者就上去恢复,这也是为什么删了又会出现, 删不干净的原因…… 如果已经遭到提权的话,系统可能已经中了一堆木马,各种“粘滞键后门”、 “放大键后门”、“Win+U 后门”、“隐藏、克隆账户”、“触发式后门”等…… 所以,你事后需要要全面检查下系统了,不要忘记检查杀毒软件的白名单,你懂的…… 进行这些操作,我本人推荐使用手工杀毒工具“PowerTool v4.2”、“XueTr v0.45”, 在文章的最后我会写上官方下载地址。 使用这两个软件要注意下,它们使用的驱动兼容性很差,有比较大的几率会造成系统蓝屏, 所以如果您的机器不支持在线重启的话,您可要掂量好再用,希望他们以后的版本能改进下…… 

说到驱动隐藏,最典型的现象就是系统盘及系统目录中存在以下文件: c:\Program Files\Easy File Locker c:\Program Files\Easy File Locker\FileLocker.exe c:\Program Files\Easy File Locker\uninst.exe c:\Documents and Settings\Administrator\桌面\Easy File Locker.lnk c:\Documents and Settings\Administrator\「开始」菜单\程序 \Easy File Locker c:\Documents and Settings\Administrator\「开始」菜单\程序 \Easy File Locker\Easy File Locker.lnk c:\Documents and Settings\Administrator\「开始」菜单\程序 \Easy File Locker\Uninstall.lnk 

↑ 以上文件十有八九已被攻击者删除(管理员想破脑袋,都不知道怎嘛回事),

但以下文件是绝对存在的! ↓ c:\WINDOWS\xlkfs.dat c:\WINDOWS\xlkfs.dll c:\WINDOWS\xlkfs.ini c:\WINDOWS\system32\drivers\xlkfs.sys 该软件名字叫:Easy File Locker,一般用 Easy File Locker 1.3,或着是其它版本,你可以搜一下,网 上一堆…… 功能很简单,简单的驱动隐藏文件(简单的 C、C++ 就可以实现,网上大量源码),支持单个文件或者整个 目录。 支持设置访问权限,属性为:可读/可访问(Accessible)、可写(Writable)、可删除(Deletable)、可见

一般做黑链的小朋友都会这样设置:只勾选可读,其他的一律拒绝…… 那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径, 你才可以读取文件内容。 这也是为什么各位管理员头疼的地方了,愣是找不到文件,但是直接访问网站却是可以执行的…… ╮(╯_╰)╭ 并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界面、 卸载程序等都可以删除,只留下核心的驱动文件就行了……


解决方法下次更新

版权声明:本文为 “黑帽百科” 原创文章,转载请附上原文出处链接及本声明;

原文链接:https://www.heimao.wiki/post/56145.html

标签:

发表评论:

关于我们
黑帽百科:黑帽seo百科,黑帽seo技术学习培训分享,黑帽SEO快排程序分享,定制。 SEO快速排名收录学习 老师qq:25496334
扫码关注
联系方式
全国服务热线:
地址:新加坡 - 市中心(Singapore City)乌节路
Email:[email protected]
邮编:
Copyright Your 黑帽百科.|网站地图.Some Rights Reserved.