渗透技巧之隐藏自己的工具

  • A+
所属分类:安全工具

大家在做内网渗透的时候,经常要传一些工具到目标机器上执行。有的时候传一次,执行完了就删除了,后来发现还要再用,又要再次上传,很是麻烦而且也容易造成被发现的风险。有的圈友可能会把工具放到一个很深的目录里藏起来,但是这种工具长期放在目标机器上又不安全。今天我给大家介绍一个猥琐的小技巧,可以放心的把工具放在目标机器上,而又不会被发现。

这里利用的就是 VSSVolumeShadowCopy,首先我们将工具上传到目标机器的某个目录里(比如 c:$Recycler.Bin),我这里方便测试,在c盘新建了一个目录test,并把工具传到了此目录里。然后我们创建C盘的VSS,这里我们可以利用微软的 vssadmin工具(我的windows 2008里自带这个工具),如果没有这个工具我们可以利用wmi来操作: 

1.列出当前系统内已有的 VSS

vssadmin list shadows 

或者 

gwmi win32_ShadowCopy

渗透技巧之隐藏自己的工具

2.创建VSS: 

vssadmin create shadow /for=c:

或者

Get-WmiObjectWin32_ShadowCopy-List).Create("C:","ClientAccessible") 

渗透技巧之隐藏自己的工具

这里记住返回的 ShadowID(类似 {eeb50055-34c9-472b-81e6-ed111742e12e}

3.删除你上传的工具(我这里是直接把 C:test目录删除掉)

4.查看一下我们创建的VSS的 DeviceObject(如果使用vssadmin创建的,返回结果里就会有):

gwmi Win32_ShadowCopy|select-PropertyDeviceObject 

返回结果为:

  1. DeviceObject                                  

  2. ------------                                  

  3. \?GLOBALROOTDeviceHarddiskVolumeShadowCopy8

渗透技巧之隐藏自己的工具

5.将 \?GLOBALROOTDeviceHarddiskVolumeShadowCopy8中的 “?”换成 “.”,就可以执行你的程序了:

\.GLOBALROOTDeviceHarddiskVolumeShadowCopy8testhunter64.exe

渗透技巧之隐藏自己的工具

是不是很简单?这样做,实际硬盘上已经看不到hunter64.exe里,但是我们做了一个shadow copy,在这里shadow copy里,我们的程序还在,通过这种方式我们就可以随时随地执行我们的“影子”程序,从而实现隐藏我们的工具了。 等你不再需要这些工具的时候,直接删除你创建的VSS就可以了:

vssadmin DeleteShadows/shadow={eeb50055-34c9-472b-81e6-ed111742e12e}/quiet 

或者 

Get-WmiObjectWin32_ShadowCopy|where{$_.ID -eq '{eeb50055-34c9-472b-81e6-ed111742e12e}'}|Remove-WmiObject 

当然,使用WMI的方法我们不一定用powershell,也可以使用JScript或者VBScript,比如:

  1. var Win32_ShadowCopy =GetObject("winmgmts:\\.\root\cimv2:Win32_ShadowCopy");

  2. Win32_ShadowCopy.Create(

  3.  "C:\",

  4.  "ClientAccessible"

  5. );




更多精彩内容,敬请加入DMZLab交流圈!

渗透技巧之隐藏自己的工具

扫描下图二维码,关注DMZLab公众号,精彩内容不错过!


渗透技巧之隐藏自己的工具


本文始发于微信公众号(DMZLab):渗透技巧之隐藏自己的工具

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: