2023最火批量getshell工具,不同于以前的getshell批量工具，它根据内置常见的exp漏洞、更好的检测网站漏洞、只要网站存在内置的exp漏洞，皆可通杀出来、且扫到的shell%99.9都是可以连接使用和一手的，这就方便我们更好的检测网站是否存在漏洞！【tg:xise404】

下载地址：https://note.youdao.com/s/Xi9S4I16

从最开始的包含图片（#include file="a.jpg"），设置文件隐藏属性（Fso组件可以做到，完全支持），到更早的畸形目录，特殊文件名（两年之前）

或者两者的结合（例如：c:\a.\aux.txt），直到现在的驱动级隐藏（大约一年半前开始流行），这些小技巧可以看作是一个进展不大让我们...扫盲先行，普及一下相关知识：变形目录：有一个或多个。目录名中的（点，英文句点）特殊文件名:\n实际上是系统设备的名称。这是Windows系统保留的文件名。它不能通过普通方法访问。

主要包括：lpt、aux、com1-9、prn、nul、con，例如：lpt.txt、com1.txt\n驱动级隐藏：由于这些小不具备写驱动的能力，所以主要是借助一些第三方软件来隐藏，比如：现在很流行的Easy File Locker 1.3

下面会详细说明。其他方法：循环锁文件，一两年前很流行，先做一个非木马脚本（不会被杀），只有简单的文件读写功能，然后24小时运行在服务器上，使用程序每秒请求一次脚本，每次执行脚本都会检查目标文件（挂马或黑帽SEO的文件）的大小和属性是否正确，如果不正确则删除，然后重写并设置属性，达到“文件锁定”的目的。这种方法一般配合畸形目录+特殊文件名使用。

替代方法： Aspx 可以打开文件，但不能关闭句柄。在此期间，该文件不能被删除或修改，直到下一次IIS或服务器重启前一直有效。如果不能提权，但是支持运行低权限的程序，可以写一个简单的程序上传，锁定低权限的文件，直到当进程结束或者服务器重启时，加锁的方式可以参考上面的，比如循环监控锁，或者文件句柄...以上隐藏手段已广泛应用于黑帽seo、木马、关键词优化等非法事件中，各大站长、管理员深受其害...创建和删除畸形目录和特殊文件名的方法很简单：变形的目录：只需要记住把一个点换成两个点即可

例如：新建一个“a..”目录：md c:\a..\，实际显示为：c:\a.\，普通方法无法实现 Access等，也可以多点。 ..删除方法相同：rd /s /qc:\a..\特殊文件名：稍微复杂一点，普通路径访问是访问不到的，需要使用这个路径：\\.\c:\aux.txt 或者\\?\c:\aux.txt 或者\\计算机名\c:\aux。 txt（网上邻居形式的路径），例如：创建文件：echo hello>\\.\c:\aux.txt读取文件内容：输入\\.\c:\ aux.txt删除这个文件：del /f /q /a \\.\c:\com1.txt这很简单，对吧？好吧，现在我们挑战稍微复杂一点的……格式错误的目录 + 特殊文件名：创造： MD C:\a..\ echo 你好>\\.\c:\a..\aux.txt读：输入 \\.\c:\a..\aux.txt刚才的删除方式不能再用了

需要这样： rd /s /q \\ .\c:\a..\ （还有一些其他的特殊路径，可以参考：创建和删除带点号的文件夹，【技巧】创建和删除带“\”名称的文件夹）很好，现在你已经学会了如何处理这个目录和文件，上面的操作可以通过Asp使用Fso组件来完成，而且这个路径是完全支持的，也就是说普通的WebShell权限就可以完成... \(^o^)/至于“其他方法”和“替代方法”的清洗，就比较简单了，例如：其他方法：找出可疑脚本并将其删除。可以在Asp中搜索关键词：FSO、FileSystemObject、OpenTextFile、CreateTextFile、CopyFile、DeleteFile、.Write等...其实最简单的方法就是查看IIS日志，看看哪个文件被频繁大量请求，然后找出那个文件，你就知道了……这种方法常与畸形目录、特殊文件名、图片等结合使用，用刚才说的方法清理即可。

替代方法：比较简单，找出可疑进程，最明显的就是用户名为IIS的账户，结束，然后删除文件。最后重启IIS，所有锁定文件句柄的方法都会失败，或者干脆重启服务器。再提一下，一般来说，一个有价值的网站，他们不会轻易放弃，他们会留下一堆后门，在各种文件里塞一句，保留原来的漏洞或者人为制造漏洞，哪怕所有后门都有已清除，仍可取下！而且会定期检查。有人用软件24小时监控挂马的页面，一秒钟一次，没有关键字就会报警，然后攻击者上去还原。这就是为什么它会再次被删除的原因。出现了，删除不干净的原因……如果提权过，系统可能中了一堆木马，各种“粘滞键后门”、“放大键后门”、“Win+U后门”、“隐藏、克隆账号”、“触发后门” “， ETC...所以，之后你需要彻底检查系统，不要忘记检查杀毒软件的白名单，你知道的.........对于这些操作，我个人推荐使用手动杀毒工具“PowerTool v4.2”和“XueTr v0.45”。使用这两个软件的时候要注意，他们使用的驱动兼容性很差，有比较大的概率会导致系统蓝屏，所以如果你的机器不支持在线重启，就得使用前仔细权衡一下