【WEB】webshell中的不死僵尸和隐藏后门的原理以及删除

Bertha 。 2022-05-16 12:12 322阅读 0赞

主要是利用系统保留文件名创建无法删除的webshell来隐藏后门。  
Windows 下不能够以下面这些字样来命名文件或文件夹：  
   
aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9    
但是通过cmd的copy命令即可实现：  
   
copy rootkit.asp \\\\.\\D:\\wwwroot\\aux.test.asp 前面必须有\\\\.\\,并且aux等关键字必须在前面  
   
已复制1 个文件。  
   
D:\\wwwroot>dir  
2011-04-25 14:41 <DIR> .  
2011-04-25 14:41 <DIR> ..  
2011-03-08 22:50 42,756 aux.asp  
2009-05-02 03:02 9,083 index.asp  
2012-03-08 22:50 42,756 rootkit.asp  
   
这类文件无法在图形界面删除，只能在命令行下删除：  
   
del \\\\.\\D:\\wwwroot\\lpt6.chouwazi.com.asp

查看这类文件

type  \\\\.\\D:\\wwwroot\\lpt6.chouwazi.com.asp

![70][]

## . 的用法: ##

rd /s /q \\.h:autorun.inf这条命令为什么能删除包含畸形文件夹在内的所有文件夹？

\\.理解为\\127.0.0.1

UNC的一个本地化特例。

?可以理解成遍历，?是通配符，表示匹配0个或1个任意字符。

.代表本地节点，在概念上来有点像磁盘根目录，也可以说成是计算机根目录 所以dir \\.C:是可以被命令行解释器识别的，更可以跨盘符的来使用绝对路径引用，例如: F:>\\.C:windowssystem32cmd.exe 使用UNC路径不会捡测路径中的保留字设备名称等，因此删除包含畸形文件夹在内的所有文件夹

del /q /f /a \\?%1可以删除所有文件 UNC路径的一个特例。UNC路径就是符合 \\servernamesharename格式，其中 servername是服务器名，sharename是共享资源的名称。?是统配符，表示匹配0个或1个任意字符。使用UNC路径不会捡测路径中的保留字设备名称等，因此可以用这种方法来删除特殊文件或目录。

注： 如果你想删除的文件夹中包含特殊路径，可能导致整个磁盘分区的数据全部被删除。因此，如果你还不能对这个命令了如指掌，不建议使用这样的命令。

[70]: /images/20220516/d7c9c07612be43959ff5003140db2e96.png