NTFS中的ADS的一些問(wèn)題

　　可以看到ADS在很久以前就被一些安全人員所關(guān)注，并且也提出了一些經(jīng)典的利用，比如隱藏文件，隱藏webshell(交換數(shù)據(jù)流 (ADS)與IIS的前世與今生)，隨著這次爆出來(lái)的IIS的權(quán)限繞過(guò)，我們?cè)俅螠y(cè)試了一下ADS在滲透中的利用方法，并發(fā)現(xiàn)了一些比較有意思的現(xiàn)象。以下是小編為大家搜索整理的NTFS中的ADS的一些問(wèn)題，希望能給大家?guī)��?lái)幫助!更多精彩內(nèi)容請(qǐng)及時(shí)關(guān)注我們應(yīng)屆畢業(yè)生考試網(wǎng)!

　　1 經(jīng)典的IIS 目錄訪問(wèn)權(quán)限繞過(guò)：

　　詳見(jiàn)：Microsoft IIS 6.0 and 7.5 Multiple Vulnerabilities轉(zhuǎn)自:考試網(wǎng) - [Examw.Com]

　　注：這里的權(quán)限是NTFS目錄屬性的權(quán)限，并非說(shuō)是后臺(tái)直接繞過(guò)。別誤會(huì)。

　　2 Bypass 黑名單驗(yàn)證

　　在測(cè)試中我們發(fā)現(xiàn)，如果上傳的文件名字為：test.php::$DATA，會(huì)在服務(wù)器上生成一個(gè)test.php的文件，其中內(nèi)容和所上傳文件內(nèi)容相同，并被解析。假設(shè)我們需要上傳的文件內(nèi)容為：下面是上傳是會(huì)出現(xiàn)的現(xiàn)象：

　　上傳的文件名 服務(wù)器表面現(xiàn)象 生成的文件內(nèi)容

　　Test.php:a.jpg 生成Test.php 空

　　Test.php::$DATA 生成test.php

　　Test.php::$INDEX_ALLOCATION 生成test.php文件夾

　　Test.php::$DATA\0.jpg 生成0.jpg

　　Test.php::$DATA\aaa.jpg 生成aaa.jpg

　　PS: 上傳test.php:a.jpg的時(shí)候其實(shí)是在服務(wù)器上正常生成了一個(gè)數(shù)據(jù)流文件，可以通過(guò)notepad test.php:a.jpg查看內(nèi)容，而test.php為空也是正常的。

　　根據(jù)第二個(gè)現(xiàn)象，我們可以bypass一些黑名單驗(yàn)證。

　　后面我加\0測(cè)試的時(shí)候是想截?cái)嗪竺娴臇|西，但是發(fā)現(xiàn)windows會(huì)無(wú)視”/””\”這兩個(gè)符號(hào)前面的東西，只識(shí)別這倆符號(hào)后的字符串。(由于windows把\ /當(dāng)成了目錄，而上傳只認(rèn)識(shí)文件名所導(dǎo)致的)

　　3 在隱藏webshell中的利用：

　　方法：在服務(wù)器上echo一個(gè)數(shù)據(jù)流文件進(jìn)去，比如index.php是網(wǎng)頁(yè)正常文件，我們可以這樣子搞： echo ^ > index.php:hidden.jpg

　　這樣子就生成了一個(gè)不可見(jiàn)的shell hidden.jpg，常規(guī)的文件管理器、type命令，dir命令、del命令發(fā)現(xiàn)都找不出那個(gè)hidden.jpg的。我們可以在另外一個(gè)正常文件里把這個(gè)ADS文件include進(jìn)去，，這樣子就可以正常解析我們的一句話了。

　　4 UDF提權(quán)中的利用

　　UDF提權(quán)tips：如果數(shù)據(jù)庫(kù)用戶對(duì)數(shù)據(jù)庫(kù)mysql(注意指的是數(shù)據(jù)庫(kù)里的默認(rèn)庫(kù)mysql)具有insert和delete權(quán)限，就可以創(chuàng)建加載自定義函數(shù)。而又由于mysql是以system權(quán)限運(yùn)行在windows主機(jī)上，所以這個(gè)時(shí)候我們就可以通過(guò)自定義函數(shù)以system權(quán)限執(zhí)行命令了。

　　Mysql 5.1以上(現(xiàn)在都5.6版本了，估計(jì)老版的不常見(jiàn)了。)，在加載自定義函數(shù)的DLL時(shí)，要求目錄必須是mysql目錄下的lib\plugin\目錄。直接導(dǎo)入C:\windows\system32這種目錄是加載不了dll的，也就沒(méi)辦法creat function。但是可悲的是mysql 5.1之后的版本在安裝的時(shí)候是默認(rèn)不存在lib\plugin目錄的，除非你安裝的是完整版(官方的那種200多M的)。

　　還有一些情況，比如：你獲取webshell了，但是webshell權(quán)限被限制的很死，根本沒(méi)辦法新建lib\plugin目錄，或者你根本就沒(méi)有webshell，只有一個(gè)Mysql的弱口令(無(wú)webshell的UDF提權(quán)+serv-u+人品)。在以前估計(jì)就是只有放棄了，但是利用ADS我們則可以bypass掉這個(gè)限制。

　　demo :

　　select 'xxx' into outfile 'D:\\mysql\\lib::$INDEX_ALLOCATION';

　　會(huì)在mysql目錄下生成一個(gè)lib目錄中 華 考 試 網(wǎng)

　　5 利用ADS隱藏木馬

　　隱藏好辦，直接在cmd里面執(zhí)行命令: type muma.ext test.txt:muma.exe

　　這樣就把木馬寫(xiě)進(jìn)test.txt的數(shù)據(jù)流里了。但是想運(yùn)行的話還得借助其他工具，winrar就是一個(gè)，具體方法百度百科里都有，但是百科里的別信，成功不了，需要用type命令才能將二進(jìn)制可執(zhí)行文件寫(xiě)進(jìn)去的。

　　Winrar的自解壓木馬我還是覺(jué)得不靠譜，畢竟后綴是exe，如果目標(biāo)連這個(gè)都確定不了，那還不如直接發(fā)muma.exe。所以這個(gè)利用我也沒(méi)怎么研究了。

　　注：數(shù)據(jù)流中如果是可執(zhí)行文件，用start命令調(diào)用時(shí)，需要在win xp 和2003環(huán)境下，win7下失敗。

【NTFS中的ADS的一些問(wèn)題】相關(guān)文章：

NTFS有什么妙處05-14

科目四考試中需要注意的一些問(wèn)題08-21

fat32和ntfs有什么區(qū)別10-07

Axure原型設(shè)計(jì)時(shí)的一些問(wèn)題11-16

安裝Mac一些問(wèn)題內(nèi)核以及驅(qū)動(dòng)06-21

win10系統(tǒng)出現(xiàn)的一些問(wèn)題08-02

新手上路應(yīng)該注意的一些問(wèn)題07-10

科目三需要注意的一些問(wèn)題07-12

新手上路需要注意的一些問(wèn)題10-31