 | 文件的处理在渗透中经常用到。
rar可以说是渗透中的文件处理神器。可以实现文件的压缩、解压、筛选。重要的是它的无敌免杀功能,过各种免杀,
各种主动防御。
//压缩,将list.txt上的文件压缩到c:\recycler\list.rar
dir c:\adminsec\*.doc /b /s >c:\adminsec\list.txt
c:\adminsec\rar.exe a -hpadminsec -v100m -k -r- -s -inul -y c:\adminsec\list.rar @c:\adminsec\list.txt
//压缩筛选,在实际应用中更新文件很有用。例如:把2012年11月11日凌晨后的c:\adminsec\*.doc压缩到c:\adminsc
\list.rar
c:\adminsec\rar.exe a -hpadminsec -v100m -k -r- -s -ta20121111000000 -inul -y c:\adminsec\list.rar
c:\adminsec\*.doc
//ta<日期> 添加日期<日期>后修改的文件,日期格式YYYYMMDDHHMMSS
//tb<日期> 添加日期<日期>前修改的文件,日期格式YYYYMMDDHHMMSS
ps:可以at应用,系统可以识别路径。暂时没有发现其他不兼容问题。
//解压,将某文件解压到服务器srv的c:\adminsec,屏蔽回显信息。回显信息过多,造成shell崩溃。
c:\adminsec\rar.exe e -hpadminsec -s -inul -y \\srv\c$\adminsec\test.rar
//一般为了避开杀软,加密到目标服务器再解压,单个文件的解压。
c:\adminsec\rar.exe x -o+ -hpadminsec \\srv\c$\adminsec\test.rar \\srv\c$\windows
ps:关于解压,在系统权限下,比如at执行,可能系统会认不得解压的路径,把文件解压到c:\windows\system32目录,
有些系统或者根本不认了。造成解压失败。 某些环境下可以用at解压成功。网络路径方法基本可以成功,风险是未知
部分杀软会不会检查网络路径文件。
| |
