NTFS格式下的Alternate Data Streams

最新推荐文章于 2020-11-11 16:28:44 发布
最新推荐文章于 2020-11-11 16:28:44 发布
阅读量460 收藏
点赞数
文章标签: php 数据库 运维
原文链接:http://www.cnblogs.com/luverose/p/4245355.html
版权

  今天我写点NTFS的交换数据流以及其带来的安全问题(Alternate Data Stream/ADS)
=========================================================================================================================================================================
1.什么是ADS?
  要了解什么是ADS我们必须先了解一点关于NTFS的知识,文件在NTFS 和FAT中的结构的区别

Microsoft于90年代初期引入了一种称为“数据流”的概念,从而使NTFS可以作为Macintosh客户端访问文件服务器的文件系统。因为Mac OS 是利用Mac的分层式文件系统(HFS)上所谓的资源分支数据流,用于存放图标等应用程序的元数据。NTFS和FAT的差别就是FAT由一个数据流构成,而NTFS可以在一个文件内存里面存储多个数据流。
在windows协议MS-FSA中ADS的定义:
一个被命名的数据流是一个文件或者目录的一部分,它们可以独立于默认数据流被单独的打开。许多数据流的操作之影响数据流并不影响其他数据流,文件和目录
======================================================================================================================================================================
2.Stream的特性
在windows协议MS-FSCC中对NTFS stream的介绍:
所有的文件在NTFS中至少包含一个主数据流,一个文件NTFS中真正的文件名称格式是:
<文件名>:<流名>:<流种类>
默认的数据流没有名字,如果我们创建一个文件sample.txt实际在NTFS中全名是sample.txt::$DATA
不过不一样的是,如果我们创建一个文件夹,它并没有默认的数据流(Data Stream),不过它有一个默认的目录流(Default Directory Stream)是$INDEX_ALLOCATION默认的流名是I30,所以如果我们创建了一个文件夹sample,它的全名是sample:I30:$INDEX_ALLOCATION
=========================================================================================================================================================================
3.利用Stream特性隐藏文件
在CMD下输入以下代码来测试

echo test1 > test1.txt  //将test1写入test1.txt中
echo test2 > test2.txt  //将test2写入test2.txt中
type test2.txt > test1.txt:test2.txt  //将test2.txt内容写入1.txt的ADS 1.txt:2.txt中
del test2.txt //删除test2.txt
type test1.txt //内容显示为test1
type test2.txt  //已经删除了这个文件所以找不到内容
type test1.txt:test2.txt  //内容显示为test2

这里我们可以清楚的看见,test2.txt中的test2已经被写入了test1.txt的流中了。
同理,我们可以把任意格式文件写入任意文件的流中,同时可以正常打开执行。
例如~将恶意VBS写入txt中之类~
========================================================================================================================================================================
4.stream特性引来的其他安全问题
这个话题有个前辈总结的不错:

::$DATA请求泄露
MicrosoftIIS 3.0/4.0 ::$DATA请求泄露ASP源代码漏洞(MS98-003)CVE-1999-0278 这是一个很古老的漏洞,早期版本的IIS在处理文件请求时会先判断文件扩展名是否在可执行文件扩展名列表中,如果在,则执行并返回结果,如果不在,则直接返回文件内容。NTFS文件系统支持 在文件中包含额外的数据流。$DATA是在NTFS文件系统中存储数据流的属性。当我们对一个在NTFS分区中的ASP文件发出包含$DATA请 求,IIS会检查最后一个“.”后面的扩展名,因为多了“::$DATA”,结果IIS不认为这是一个ASP文件,而文件系统可以识别该请求,于是ASP 的源代码被返回。在高版本的IIS以及其他的Web Server中测试没有发现该问题
隐藏webshell
这种利用思路最早由80sec提出,很好的利用了ADS的隐蔽性。由于目前的webshell检测程序都还没能考虑到ADS层面的检测,所以,这是种隐藏web后门的很好的方式。 来看一个很简单的demo:在test.php中添加<?phpinclude(“1.php:.jpg”); ?>,在1.php:.jpg中写入后门代码。访问test.php时,后门代码能成功解析。
Bypass HTTP Basic Authentication
对于IIS6.0+PHP、IIS7.5+asp、IIS7.5+php环境下,如果某目录通过HTTP Basic来认证,假设其目录下有index.php文件,我们可以通过构造如下方式来绕过认证直接访问其目录下的文件。 /admin::$INDEX_ALLOCATION/index.php /admin:$i30:$INDEX_ALLOCATION/index.asp Bypass黑名单验证上传 对于windows环境的服务器,上传1.asp:.jpg类型的文件,当文件传到服务端时,windows会将该文件识别成ADS,从而认为其宿主文件名为1.asp而将.jpg识别为流名。在测试过程中(测试环境中WEB Server为IIS、Apache、Nginx)无论如何构造都无法访问可以解析的文件。 前面我们提到,对于1.asp:.jpg这类ADS,其完整的全称为1.asp:.jpg:$DATA,stream name可以省略但stream type是不能省略且不能自定义的。我们在测试中发现,当上传1.php::$DATA时(文件内容为phpinfo),在存储时会出现逻辑问题,导致生成非空的1.php文件,当中的内容为1.php::$DATA的内容且可以正常在webserver下解析。该逻辑问题与语言无关与web server无关,也就是说上传1.asp::$DATA也会生成非空的1.asp文件,1.jsp::$DATA同样。 另外,当1.php::$INDEX_ALLOCATION或1.php:$I30:$INDEX_ALLOCATION时,存储时逻辑同样会出现问题,会把该文件误认为是文件夹,从而建立一个1.php的空文件夹。(注:directory流默认stream name为$I30) Windows还有个特性,就是当文件夹名或文件名末尾的任意个数的空格或点,在存储时都会自动去除,所以当上传1.php::$DATA………….或1.php::$INDEX_ALLOCATION……………此类文件同样会造成上述的存储时的逻辑错误。 在MySQL UDF提权中的利用 MySQL5.1及其之后的版本,使用UDF提权时,指定UDF必须导出在MySQL目录下的libplugin下才有用,而非完全版的Mysql默认安装后没有plugin这个目录,且在MySQL中没有可创建文件夹的函数。(通常很多时候在webshell中也无权限建立该目录),可用如下的SQL建立文件夹 select‘xxx’ into outfile ‘c:\test::$INDEX_ALLOCALTION\’; 同样由于windows在处理时会把c:test::$INDEX_ALLOCALTION当做ADS处理,从而生成一个test文件夹

这里的总结原文来自:http://www.xcl0ud.net/?p=9
==========================================================================================================================================================================
5.ADS的黑历史
国内最早的关于ADS利用的文献我找到的是lu0(驱动之家创始人)在2001年的时候写的,而国外文献我找到的最早的是在2002年,我想说十几年过去了,关于ADS特性引发的漏洞由IIS 4.0到5.0到6.0到7.5多多少少都有,所以我认为NTFS的这个特性非常值得深入研究。没准以后在别的地方还能挖掘出一些价值
=========================================================================================================================================================================
Thanks for read this article。

转载于:https://www.cnblogs.com/luverose/p/4245355.html

NTFS上的交换数据流
lake2的专栏
01-29 7901
NTFS上的交换数据流-------------------------------------------------------|          lake2 lake2@mail.csdn.net>            ||           http://mrhupo.126.com                      ||                       20
关于NTFSAlternate Data Streams
陈锋-TechBlog
11-18 1957
近日有人问起,如何在文件的摘要属性中增加一个自定义的项。起初我想到Office文档实际上是可以通过OLE来更改,但是其实有些文件比如Mp3,甚至txt文件也有摘要的,这些属性存放在那里呢,经过一番研究,发现实际上是存放在一个叫做Alternate Data Streams的地方,这个东东实际上是另外一个和当前文件相关联的文件。具体请看以下的link,并且你可以在程序中控制这个文件,最后code p
Windows Alternate Data Streams
liziyun537的专栏
07-10 1239
http://www.bleepingcomputer.com/tutorials/windows-alternate-data-streams/ Introduction Anyone who is in the security arena should know about Windows Alternate Data Streams, otherwise known as ADS.
NTFS Alternate Streams
snail8384的专栏
12-16 1708
NTFS Alternate Streams: What, When, and How ToWhat Are Alternate Streams?System Support for Stream OperationsSo When to Use Alternate Streams?Programming ConsiderationsCommand Line ToolsDownloads
Alternate Data Streams(ADSs)是什么
无执斋
11-05 2068
微 软的平台不断在增加.公司用的服务器和桌面操作系统运行的一般是winNT和win2000,而家庭用户和学生用的系统一般是winXP.这些平台是很受 欢迎的并且被大范围的使用.可是使用这些操作系统的用户和管理员却对NTFS文件系统的某个特性知道的很少,那就是”交换数据流”(alter
Ntfs Streams Editor2工具
06-18
Alternate Data Streams (ADS) Ntfs数据流给文件附加了一些额外的信息,这些本不属于该文件的信息就叫做“交换数据流”;而文件本身(宿主文件)则叫做该文件的“主数据流(Primary Data Stream)”。 Ntfs数据流的...
Alternate-Data-Streams
05-08
Set-Content - Path $file - Value ' Alternate Data Stream Test File ' 要读取文件内容,我们使用以下内容: Get-Content - Path $file 哪个会回来; Alternate Data Stream Test File 隐藏内容 如上所述,-...
NTFS流文件管理 ntfsstreamseditor
08-10
2. 隐蔽流(Alternate Data Streams, ADS):除了主流之外的其他数据流,它们不会在文件资源管理器中显示,通常需要特定工具才能查看和操作。 `ntfsstreamseditor`是一个用于管理和编辑NTFS流文件的工具,它可以...
ntfsstreamseditor
08-10
它引入了许多先进的特性,其中数据流alternate data streams, ADS)是一个非常独特且在日常使用中不太为人所知的功能。"ntfsstreamseditor"是一款专门针对NTFS分区文件数据流进行操作的工具,它允许用户对数据流...
ntfsstreamseditor.exe
10-30
NTFS文件系统中存在着NTFS交换数据流Alternate Data Streams,简称ADS),这是NTFS磁盘格式的特性之一。每一个文件,都有着主文件流和非主文件流,主文件流能够直接看到;而非主文件流寄宿于主文件流中,无法...
NTFS文件附加数据流读写类
02-16
摘要:NTFS是Microsoft公司开发的一种有着良好安全性和稳定性的高性能文件系统,NTFS的文件或文件夹中附加多个额外的数据流,但是其访问一直没有很好的解决办法,本文使用VB2003实现NTFS文件附加数据流的读写类,提供.Net框架下NTFS文件附加数据流的完整解决方案。 关键词:VB.Net NTFS 数据流 类 在项目中选择添加引用->浏览->选择“JWBStreamOP.dll”文件->确定,即可成功引用。 4.1 类的声明: Dim myStreamOP As New ClassJWBStreamOP(“NTFS文件完整路径”) 4.2 属性: 该类共有3个只读属性 属性名 返回值类型 备注 FileName String 只读,在成功声明后使用 Ready Boolean 只读,该类可操作时为True Ver String 只读,类版本、版权信息 4.3 方法 该类共有6个方法: 4.3.1 OpenNTFSStream(ByVal sStreamName As String) As System.IO.FileStream 打开指定文件(声明时指定)的指定数据流,返回值为指定数据流的FileStream接口。 参数列表 类型 传递方式 参数说明 sStreamName String Byval 流文件名 4.3.2 GetNTFSStreamSize(ByVal sStreamName As String) As Long 获取指定数据流的大小,返回实际大小,执行失败返回-1 参数列表 类型 传递方式 参数说明 sStreamName String Byval 流文件名 4.3.3 AddNTFSStream(ByVal toHidName As String, ByRef percentDone As Double) As Boolean 添加附加数据流,返回执行结果。 参数列表 类型 传递方式 参数说明 toHidName String ByVal 待添加的文件路径 percentDone Double ByRef 传递一个完成百分比的参数 4.3.4 SaveNTFSStream(ByVal sStreamName As String, ByVal outFileName As String, ByRef percentDone As Double) As Boolean将指定的数据流保存为文件,返回执行结果。 参数列表 类型 传递方式 参数说明 sStreamName String ByVal 流文件名 outFileName String ByVal 保存文件路径 percentDone Double ByRef 传递一个完成百分比的参数 4.3.5 ReadNTFSStreamsName() As String() 获取文件的所有附加数据流名称,返回名称数组。 4.3.6 DeleteNTFSStream(ByVal sStreamName As String) As Boolean 删除指定数据流,返回执行结果。 参数列表 类型 传递方式 参数说明 sStreamName String Byval 流文件名
隐藏数据的好方法----Alternative Data Stream(可选数据流)
辉小歌的博客
11-11 866
前言 “Alternative Data Stream”用中文来说就是“可选数据流” 它可以干啥呢? 它可以隐藏数据。 演示 创建一个aa.txt和一个bb.txt 将bb.txt的数据藏到aa.txt中 这时候你设置可以看到隐藏文件和系统文件。会发现发现不了bb文件 那么如何看到bb.txt呢? 查看隐藏的数据 原理 在我看来,Alternative Data Stream(可选数据流) 就近似于这个文件有两种形态: 一种形态是aa(即本身形态)看到的是aa的数据 一种形态是bb看到的是b
隐写:NTFS STREAM
qq_24520119的博客
11-03 1075
TFS文件流(ADS)的利用 一、隐藏信息 在任一NTFS分区下打开CMD命令提示符,输入echo abcde>>a.txt:b.txt,则在当前目录下会生成一个名为a.txt的文件,但 文件的大小只有0字节,打开后也无任何内容,只有当我们键入命令notepad a.txt:b.txt才能看见写入的abcde。 在上边的命令中,a.txt可以不存在。也可以是某个已存在的文件,文件格式无所谓,
利用NTFS交换数据流隐藏文件
Hexuefu_Bayonet的博客
07-09 1229
利用NTFS交换数据流隐藏文件 引言 这篇文章介绍Windows下NTFS文件系统的ADS(alternate data streams交换数据流)特性;实例演示如何利用ADS将文件隐藏到任何宿主上(宿主可以是文件夹、文件以及磁盘根目录);文章最后将提供两个小工具,利用它们来检测和清除隐藏在宿主上的文件。 文章目录 0×1.什么是NTFS交换数据流(ADS) 0×2.NTFS交换数据流隐藏文件实例 a.如何利用NTFS交换数据流隐藏文本文件 b.如何利用NTFS交换数据流隐藏图片文件 c.如何利用NTFS
转载:NTFS交换数据流实验(晴刃原创)
migee的博客
02-22 804
 该文由 晴刃(QingSword.COM)  原创; 原文题目:利用NTFS交换数据流隐藏文件 原文连接:http://www.qingsword.com/qing/812.html 转载以备资料参考,在原文基础上根据实际有备注和更改 如有侵犯,即刻删除 感谢理解分享 ---------------------------------------------
NTFS交换数据流ADS应用
03-06 264
NTFS交换数据流ADS应用 NTFS是Windows常用的文件系统格式。该格式支持交换数据流Alternate Data Streams,缩写ADS)特性。该特性可以让多个文件流使用同一个文...
NTFS系统的ADS交换数据流
weixin_34008805的博客
01-08 404
VC++ 基于NTFS数据流创建与检测   What are Alternate Streams?(交换数据流NTFS alternate streams , 或者叫streams,或者叫ADS(which stands for Alternate Data Streams)是NTFS文件系统中一个非常有用的特性,但很少被人知道。和早期文件系统比如FAT相比,NTFS对描述一个数据文件...
揭开NTFS下真正的隐藏文件--'流'的奥秘
zou5655的专栏
09-25 1482
揭开NTFS下真正的隐藏文件--'流'的奥秘 [ 作者: 陆麟   添加时间: 2001-9-4 14:21:15 ]作者:陆麟 来源:http://lu0.126.comNTFS下,支持一个特殊概念,那就是流.怎么个流法呢?先看流的定义: stream A sequence of bits, bytes, or other small structurally unifo
ntfsstreamseditor2
最新发布
07-04
NTFS(New Technology File System)是Windows操作系统使用的文件系统,通过使用文件流(Alternate Data Streams)功能,可以在一个文件中嵌入多个数据流NTFSStreamsEditor2可以帮助用户在文件中创建、修改和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值