NTFS中的ADS的一些問題

　　可以看到ADS在很久以前就被一些安全人員所關(guān)注，并且也提出了一些經(jīng)典的利用，比如隱藏文件，隱藏webshell(交換數(shù)據(jù)流 (ADS)與IIS的前世與今生)，隨著這次爆出來的IIS的權(quán)限繞過，我們再次測試了一下ADS在滲透中的利用方法，并發(fā)現(xiàn)了一些比較有意思的現(xiàn)象。以下是小編為大家搜索整理的NTFS中的ADS的一些問題，希望能給大家?guī)�來幫�?更多精彩內(nèi)容請及時關(guān)注我們應(yīng)屆畢業(yè)生考試網(wǎng)!

　　1 經(jīng)典的IIS 目錄訪問權(quán)限繞過：

　　詳見：Microsoft IIS 6.0 and 7.5 Multiple Vulnerabilities轉(zhuǎn)自:考試網(wǎng) - [Examw.Com]

　　注：這里的權(quán)限是NTFS目錄屬性的權(quán)限，并非說是后臺直接繞過。別誤會。

　　2 Bypass 黑名單驗證

　　在測試中我們發(fā)現(xiàn)，如果上傳的文件名字為：test.php::$DATA，會在服務(wù)器上生成一個test.php的文件，其中內(nèi)容和所上傳文件內(nèi)容相同，并被解析。假設(shè)我們需要上傳的文件內(nèi)容為：下面是上傳是會出現(xiàn)的現(xiàn)象：

　　上傳的文件名 服務(wù)器表面現(xiàn)象 生成的文件內(nèi)容

　　Test.php:a.jpg 生成Test.php 空

　　Test.php::$DATA 生成test.php

　　Test.php::$INDEX_ALLOCATION 生成test.php文件夾

　　Test.php::$DATA\0.jpg 生成0.jpg

　　Test.php::$DATA\aaa.jpg 生成aaa.jpg

　　PS: 上傳test.php:a.jpg的時候其實是在服務(wù)器上正常生成了一個數(shù)據(jù)流文件，可以通過notepad test.php:a.jpg查看內(nèi)容，而test.php為空也是正常的。

　　根據(jù)第二個現(xiàn)象，我們可以bypass一些黑名單驗證。

　　后面我加\0測試的時候是想截斷后面的東西，但是發(fā)現(xiàn)windows會無視”/””\”這兩個符號前面的東西，只識別這倆符號后的字符串。(由于windows把\ /當(dāng)成了目錄，而上傳只認(rèn)識文件名所導(dǎo)致的)

　　3 在隱藏webshell中的利用：

　　方法：在服務(wù)器上echo一個數(shù)據(jù)流文件進(jìn)去，比如index.php是網(wǎng)頁正常文件，我們可以這樣子搞： echo ^ > index.php:hidden.jpg

　　這樣子就生成了一個不可見的shell hidden.jpg，常規(guī)的文件管理器、type命令，dir命令、del命令發(fā)現(xiàn)都找不出那個hidden.jpg的。我們可以在另外一個正常文件里把這個ADS文件include進(jìn)去，，這樣子就可以正常解析我們的一句話了。

　　4 UDF提權(quán)中的利用

　　UDF提權(quán)tips：如果數(shù)據(jù)庫用戶對數(shù)據(jù)庫mysql(注意指的是數(shù)據(jù)庫里的默認(rèn)庫mysql)具有insert和delete權(quán)限，就可以創(chuàng)建加載自定義函數(shù)。而又由于mysql是以system權(quán)限運行在windows主機(jī)上，所以這個時候我們就可以通過自定義函數(shù)以system權(quán)限執(zhí)行命令了。

　　Mysql 5.1以上(現(xiàn)在都5.6版本了，估計老版的不常見了。)，在加載自定義函數(shù)的DLL時，要求目錄必須是mysql目錄下的lib\plugin\目錄。直接導(dǎo)入C:\windows\system32這種目錄是加載不了dll的，也就沒辦法creat function。但是可悲的是mysql 5.1之后的版本在安裝的時候是默認(rèn)不存在lib\plugin目錄的，除非你安裝的是完整版(官方的那種200多M的)。

　　還有一些情況，比如：你獲取webshell了，但是webshell權(quán)限被限制的很死，根本沒辦法新建lib\plugin目錄，或者你根本就沒有webshell，只有一個Mysql的弱口令(無webshell的UDF提權(quán)+serv-u+人品)。在以前估計就是只有放棄了，但是利用ADS我們則可以bypass掉這個限制。

　　demo :

　　select 'xxx' into outfile 'D:\\mysql\\lib::$INDEX_ALLOCATION';

　　會在mysql目錄下生成一個lib目錄中 華 考 試 網(wǎng)

　　5 利用ADS隱藏木馬

　　隱藏好辦，直接在cmd里面執(zhí)行命令: type muma.ext test.txt:muma.exe

　　這樣就把木馬寫進(jìn)test.txt的數(shù)據(jù)流里了。但是想運行的話還得借助其他工具，winrar就是一個，具體方法百度百科里都有，但是百科里的別信，成功不了，需要用type命令才能將二進(jìn)制可執(zhí)行文件寫進(jìn)去的。

　　Winrar的自解壓木馬我還是覺得不靠譜，畢竟后綴是exe，如果目標(biāo)連這個都確定不了，那還不如直接發(fā)muma.exe。所以這個利用我也沒怎么研究了。

　　注：數(shù)據(jù)流中如果是可執(zhí)行文件，用start命令調(diào)用時，需要在win xp 和2003環(huán)境下，win7下失敗。

【NTFS中的ADS的一些問題】相關(guān)文章：

NTFS有什么妙處05-14

科目四考試中需要注意的一些問題08-21

fat32和ntfs有什么區(qū)別10-07

Axure原型設(shè)計時的一些問題11-16

安裝Mac一些問題內(nèi)核以及驅(qū)動06-21

win10系統(tǒng)出現(xiàn)的一些問題08-02

新手上路應(yīng)該注意的一些問題07-10

科目三需要注意的一些問題07-12

新手上路需要注意的一些問題10-31