摘要:
------------恢复内容开始--------总结前面问题中遇到的有趣知识点(称为ADS),这是NTFS磁盘格式的一个特点。每个文件可以有多个数据流。使用ADS数据流隐藏文件:如果文件夹找不到flag.txt,我们可以使用dir/r命令查看这些文件。可以通过直接删除主机文件来清除这些文件。2.可以使用以下命令创建单独的ADS数据流文件:创建后,目录中没有文件,也没有从属主机文件。
------------恢复内容开始------------
总结下以前做题遇到的有趣的知识点,
Buuctf里的杂项漂流的马里奥,中NTFS隐写到NTFS在渗透过程的妙用。
NTFS交换数据流(Alternate DataStreams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流。通俗的理解,就是其它文件可以“寄宿”在某个文件身上。利用ADS数据流,我们可以做很多有趣的事情,同时对于企业安全来说这类问题也隐藏着巨大的风险。
利用:隐藏文件:
如下:输入 echo "hello world " -> 3.txt:flag.txt 而文件夹也找不到flag.txt的,
而文件夹也找不到flag.txt的
我们利用dir/r 命令查看,发现了隐藏在3.txt后面的flag.txt
实验notepad 3.txt:flag.txt 可以进行编辑:
此类文件可以通过直接删除宿主文件清除
2.单独的ADS数据流文件
这类可以通过命令:echo hide > key.txt 来创建:
创建之后在目录下无文件,也没有依赖的宿主文件,并且此类文件在当前目录命令行下是无法查看的,因为它是依赖于文件夹的ADS数据流文件:
因此需要退到上级目录进行查看:
可以用命令:
notepad test:key.txt
来进行编辑:
因此windows下的隐写还是蛮有意思的。
当然还有更有趣的用途,这种隐写在渗透中间也能用到,具体看下面的文章:
https://www.freebuf.com/articles/terminal/195721.html
------------恢复内容结束------------