对于渗透测试人员来说,上传使用自己的工具是大多数都会进行的一步,那如何隐藏自己的工具不被管理员发现,甚至能够持续使用也是一个大问题。下面来介绍两种隐藏自己渗透测试工具的方法。
一:利用文件流
首先在windows上执行dir命令仅仅只能看到非隐藏文件
而dir /r 命令是可以看到隐藏文件包括文件流文件
比如我们创建一个文件流文件(echo 111 > test:test.test),发现生成了test文件,但是test文件是为空的,且利用dir是看不到文件流文件的
利用dir /r命令可以看到,且可以直接打开文件流文件看到我们之前输入的内容
我们的目的是让dir /s也看不到我们的文件且我们的文件能够执行,那我们继续在文件流上做一些操作,如使用保留名如com或...作为文件名
可以看到dir /r是看不到我创建的文件了
接下来我们来利用wmic来执行
完美!
二:卷影备份
先来一段官方说明
这边我开虚拟机03来测试
首先我们在桌面上放上我们的“渗透测试工具”
然后我们创建卷影备份
接下来删除渗透测试工具
最后我们根据路径构造文件执行路径
完美!!