windows权限维持

什么是权限维持

不让目标发现我们的攻击行为，进而对目标达到长期保持控制权限的目的。

为什么需要权限维持

• 外网突破很辛苦，在红队⾏动中在⽹络中获得最初的⽴⾜点是⼀项耗时的任务。因此，持久性是红队成功运作的关键，这将使团队能够专注于⽬标，⽽不会失去与指挥和控制服务器的通信。
• 需要长期保持对目标的控制权

技巧

“真正”的隐藏文件

给文件添加隐藏属性可以在“查看”-“隐藏的项目”中看到

使⽤Attrib +s +a +h +r命令就是把原本的⽂件夹增加了系统⽂件属性、存档⽂件属性、只读⽂件属性和隐藏⽂件属性。

attrib +s +a +h +r <filename or dirname>

原始文件夹

使用attrib +s +a +h +r 11.txt命令隐藏11.txt文件（文件夹存在缓存，刷新文件夹或退出重新进入即可），可以看到文件已经隐藏不见，并且dir命令无法查看被隐藏文件，但是可以使用dir /a查看文件夹下的所有文件。

虽然文件被隐藏了，但是系统还是可以进行访问的：

取消隐藏命令

attrib -s -a -h -r <filename or dirname>

系统⽂件夹图标

系统新建一个文件夹，名称为我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}，可以看到文件夹变成了我的电脑，双击打开内容也变成了我的电脑。

可以通过dir查看当前文件夹内容发现存在文件，也可以通过命令行的形式操作对我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}文件夹进行操作

我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
回收站.{645ff040-5081-101b-9f08-00aa002f954e}
拔号⽹络.{992CFFA0-F557-101A-88EC-00DD010CCC48}
打印机.{2227a280-3aea-1069-a2de-08002b30309d}
控制⾯板.{21ec2020-3aea-1069-a2dd-08002b30309d}
⽹上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

畸形⽬录

只需要在⽬录名后⾯加两个点（也可以为多个点）就⾏了，⽤户图形界⾯⽆法访问和删除

mkdir a..\
md b..\

可以通过cpoy命令想文件夹中写入文件和使用md命令创建文件

copy 1.txt a...\1.txt
md a...\2.txt

删除文件夹使用rmdir /s

rmdir a..\

注：如果创建了b..\（任意多个.）目录，并且存在b目录，那么双击打开和删除的目录及内容皆为b目录中的内容

通过elf.exe文件实现隐藏隐藏

http://xoslab.com/efl.html

⼀般做⿊链的⼩朋友都会这样设置：只勾选可读，其他的⼀律拒绝……那么，会有这样的效果，该⽂件不会显示，
不能通过列⽬录列出来，也不能删除，除⾮你知道完整路径，你才可以读取⽂件内容。
并且该软件还可以设置密码，启动、修改设置、卸载及重复安装的时候都需要密码，更蛋疼的是，主界⾯、卸载程
序等都可以删除，只留下核⼼的驱动⽂件就⾏了。

如何清除？

1、查询服务状态： sc qc xlkfs
2、停⽌服务： net stop xlkfs 服务停⽌以后，经驱动级隐藏的⽂件即可显现
3、删除服务： sc delete xlkfs
4、删除系统⽬录下⾯的⽂件，重启系统，确认服务已经被清理了。

卸载提示需要输入密码：