大家在做内网渗透的时候,经常要传一些工具到目标机器上执行。有的时候传一次,执行完了就删除了,后来发现还要再用,又要再次上传,很是麻烦而且也容易造成被发现的风险。有的圈友可能会把工具放到一个很深的目录里藏起来,但是这种工具长期放在目标机器上又不安全。今天我给大家介绍一个猥琐的小技巧,可以放心的把工具放在目标机器上,而又不会被发现。
这里利用的就是 VSS(VolumeShadowCopy),首先我们将工具上传到目标机器的某个目录里(比如 c:$Recycler.Bin),我这里方便测试,在c盘新建了一个目录test,并把工具传到了此目录里。然后我们创建C盘的VSS,这里我们可以利用微软的 vssadmin工具(我的windows 2008里自带这个工具),如果没有这个工具我们可以利用wmi来操作:
1.列出当前系统内已有的 VSS:
vssadmin list shadows
或者
gwmi win32_ShadowCopy
2.创建VSS:
vssadmin create shadow /for=c:
或者
(Get-WmiObjectWin32_ShadowCopy-List).Create("C:","ClientAccessible")
这里记住返回的 ShadowID(类似 {eeb50055-34c9-472b-81e6-ed111742e12e})
3.删除你上传的工具(我这里是直接把 C:test目录删除掉)
4.查看一下我们创建的VSS的 DeviceObject(如果使用vssadmin创建的,返回结果里就会有):
gwmi Win32_ShadowCopy|select-PropertyDeviceObject
返回结果为:
DeviceObject
------------
\?GLOBALROOTDeviceHarddiskVolumeShadowCopy8
5.将 \?GLOBALROOTDeviceHarddiskVolumeShadowCopy8中的 “?”换成 “.”,就可以执行你的程序了:
\.GLOBALROOTDeviceHarddiskVolumeShadowCopy8testhunter64.exe
是不是很简单?这样做,实际硬盘上已经看不到hunter64.exe里,但是我们做了一个shadow copy,在这里shadow copy里,我们的程序还在,通过这种方式我们就可以随时随地执行我们的“影子”程序,从而实现隐藏我们的工具了。 等你不再需要这些工具的时候,直接删除你创建的VSS就可以了:
vssadmin DeleteShadows/shadow={eeb50055-34c9-472b-81e6-ed111742e12e}/quiet
或者
Get-WmiObjectWin32_ShadowCopy|where{$_.ID -eq '{eeb50055-34c9-472b-81e6-ed111742e12e}'}|Remove-WmiObject
当然,使用WMI的方法我们不一定用powershell,也可以使用JScript或者VBScript,比如:
var Win32_ShadowCopy =GetObject("winmgmts:\\.\root\cimv2:Win32_ShadowCopy");
Win32_ShadowCopy.Create(
"C:\",
"ClientAccessible"
);
更多精彩内容,敬请加入DMZLab交流圈!
扫描下图二维码,关注DMZLab公众号,精彩内容不错过!
本文始发于微信公众号(DMZLab):渗透技巧之隐藏自己的工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论