原标题:渗透中的ADS
为了测试在這里使用Cobaltstrike 生成一个exe,用来查看文件是否上传成功并可以顺利执行,每次上传文件以后服务器自动删除,如下图:
将文件上传至特殊目錄:
可以看到成功写入了之后使用WMIC来执行,命令如下:
当前目录使用需要绝对路径
也可以使用msf来执行
到cobal里面可以看到会话。
如果有权限的话可使用certutil下载文件到ADS
测试时发现一个有趣的东西,使用test:
测试发现如果想要dir /s 里面看不到ADS,可以使用的文件为:
并且这些文件是不鈳以直接删除的要删除的话使用如下命令:
再分享一下怎么样带参数执行ADS文件,其实可以借助于MSF具体命令如下
使用msf删除ADS,可直接使用rm 加绝对路径即可如下图: