windows权限维持

什么是权限维持

不让目标发现我们的攻击行为，进而对目标达到长期保持控制权限的目的。

为什么需要权限维持

• 外网突破很辛苦，在红队?动中在?络中获得最初的??点是?项耗时的任务。因此，持久性是红队成功运作的关键，这将使团队能够专注于?标，?不会失去与指挥和控制服务器的通信。
• 需要长期保持对目标的控制权

技巧

“真正”的隐藏文件

给文件添加隐藏属性可以在“查看”-“隐藏的项目”中看到

使?Attrib +s +a +h +r命令就是把原本的?件夹增加了系统?件属性、存档?件属性、只读?件属性和隐藏?件属性。

attrib +s +a +h +r 

原始文件夹

使用attrib +s +a +h +r 11.txt命令隐藏11.txt文件（文件夹存在缓存，刷新文件夹或退出重新进入即可），可以看到文件已经隐藏不见，并且dir命令无法查看被隐藏文件，但是可以使用dir /a查看文件夹下的所有文件。

虽然文件被隐藏了，但是系统还是可以进行访问的：

取消隐藏命令

attrib -s -a -h -r 

系统?件夹图标

系统新建一个文件夹，名称为我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}，可以看到文件夹变成了我的电脑，双击打开内容也变成了我的电脑。

可以通过dir查看当前文件夹内容发现存在文件，也可以通过命令行的形式操作对我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}文件夹进行操作

我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
回收站.{645ff040-5081-101b-9f08-00aa002f954e}
拔号?络.{992CFFA0-F557-101A-88EC-00DD010CCC48}
打印机.{2227a280-3aea-1069-a2de-08002b30309d}
控制?板.{21ec2020-3aea-1069-a2dd-08002b30309d}
?上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

畸形?录

只需要在?录名后?加两个点（也可以为多个点）就?了，?户图形界??法访问和删除

mkdir a..\
md b..\

可以通过cpoy命令想文件夹中写入文件和使用md命令创建文件

copy 1.txt a...\1.txt
md a...\2.txt

删除文件夹使用rmdir /s

rmdir a..\

注：如果创建了b..\（任意多个.）目录，并且存在b目录，那么双击打开和删除的目录及内容皆为b目录中的内容

通过elf.exe文件实现隐藏隐藏

http://xoslab.com/efl.html

?般做?链的?朋友都会这样设置：只勾选可读，其他的?律拒绝……那么，会有这样的效果，该?件不会显示，
不能通过列?录列出来，也不能删除，除?你知道完整路径，你才可以读取?件内容。
并且该软件还可以设置密码，启动、修改设置、卸载及重复安装的时候都需要密码，更蛋疼的是，主界?、卸载程
序等都可以删除，只留下核?的驱动?件就?了。

如何清除？
1、查询服务状态： sc qc xlkfs
2、停?服务： net stop xlkfs 服务停?以后，经驱动级隐藏的?件即可显现
3、删除服务： sc delete xlkfs
4、删除系统?录下?的?件，重启系统，确认服务已经被清理了。
卸载提示需要输入密码：