標(biāo)題: 利用系統(tǒng)保留文件名創(chuàng)建無(wú)法刪除的webshell [打印本頁(yè)]
作者: xiaoniu 時(shí)間: 2014-12-27 23:42
標(biāo)題: 利用系統(tǒng)保留文件名創(chuàng)建無(wú)法刪除的webshell
上次說(shuō)到了創(chuàng)建不能刪除的文件夾����,這次說(shuō)說(shuō)創(chuàng)建不能刪除的文件�,這個(gè)技巧是黑客用的���,普通人用不上���,這也是我最近的親身經(jīng)歷:
Windows 下不能夠以下面這些字樣來(lái)命名文件/文件夾,包括:“aux”���,“com1”“com2”“prn”“con”和“nul”等��,但是通過(guò)cmd下是可以創(chuàng)建此類文件夾的���,使用copy命令即可實(shí)現(xiàn):
D:\wwwroot>copy rootkit.asp \\.\D:\\wwwroot\aux.asp
已復(fù)制 1 個(gè)文件。
D:\AspWebServer\wwwroot>dir
驅(qū)動(dòng)器 D 中的卷沒有標(biāo)簽�����。
卷的序列號(hào)是 4A56-1D29
D:\AspWebServer\wwwroot 的目錄
2010-04-25 14:41 <DIR> .
2010-04-25 14:41 <DIR> ..
2010-03-08 22:50 42,756 aux.asp
2005-05-02 03:02 9,083 index.asp
2010-03-08 22:50 42,756 rootkit.asp
3 個(gè)文件 94,595 字節(jié)
2 個(gè)目錄 3,307,204,608 可用字節(jié)
這類文件無(wú)法在圖形界面刪除��,
只能在命令行下刪除:
D:\wwwroot>del \\.\D:\wwwroot\aux.asp
D:\wwwroot>
然而在IIS中��,這種文件又是可以解析成功的�����。
========2010.5.21更新======================
又發(fā)現(xiàn)這樣的一種文件,是這樣命名的 d:\xx\xx\con.dsfdasfasd.asp�,是在做文件備份時(shí),發(fā)現(xiàn)有文件不能被拷貝時(shí)才發(fā)現(xiàn)的�。這樣的文件還是不能用上面的方法刪除,怎么辦呢�,來(lái)個(gè)絕點(diǎn),就是連文件夾一塊兒刪了���!是這樣做的:先把這個(gè)文件所在文件夾的正常文件���、文件夾一起拷貝出來(lái),然后用rd /s d:\xx\xx���,把這個(gè)文件夾連同所有的文件一塊兒刪了��,再重建這個(gè)文件���,把拷出的文件再拷回去就行了!
==============2010.5.26更新=======================================
如果這個(gè)文件被設(shè)為隱藏���、系統(tǒng)屬性����,從而使用上面的命令還是無(wú)法找到文件時(shí),同樣可以使用這樣的格式來(lái)去掉隱藏屬性:
attrib [url=]\\.\d:\con.asp -h -s 然后用前面的命令就可以刪除了[/url]
| 歡迎光臨 (http://www.torrancerestoration.com/bbs/) |
Powered by Discuz! X3.1 |