NTFS ADS（NTFS數(shù)據(jù)交換流） 帶來的WEB安全問題

ADS帶來的WEB安全問題并不是什么新鮮事了，幾個(gè)月前偶然的原因和好友Rstar一起系統(tǒng)地做了很多測(cè)試，Rstar前段時(shí)間已經(jīng)在PKAV和Wooyun上公開過，我把當(dāng)時(shí)寫的paper也發(fā)出來吧，希望能有更多的***場(chǎng)景被發(fā)掘。一個(gè)下午趕出來的paper，部分語句還有問題，之后一直沒時(shí)間改了，將就看吧 ，slide因?yàn)樯婕肮緝?nèi)容就暫時(shí)不放出來了：）



NTFS ADS帶來的WEB安全問題

Author：Rstar && pysolve



NTFS ADS簡介

NTFS流全稱為NTFS交換數(shù)據(jù)流（NTFS Alternate Data Streams），ADS的誕生是為了兼容Hierarchical File System 。HFS—分層文件系統(tǒng)，是由蘋果公司推出的文件系統(tǒng)，其工作模式是將不同數(shù)據(jù)存在不同的分支文件，文件數(shù)據(jù)存放在數(shù)據(jù)分支而文件參數(shù)存放在資源分支。類似的，NTFS流使用資源派生來維持與宿主文件相關(guān)的信息。ADS有點(diǎn)類似文件的屬性信息一樣，依附于文件的傳統(tǒng)邊界之外。

來看一個(gè)ADS的實(shí)例，通常這個(gè)例子在講到ADS的地方都會(huì)提到。新建一個(gè)文件，命名為test.txt，該文件即是宿主文件；打開文件，輸入內(nèi)容”test”。在該目錄下執(zhí)行命令 echo ”This is astream” > test.txt:stream.txt 建立后cmd不會(huì)有任何提示且對(duì)于Windows資源管理器來說宿主文件沒有發(fā)生任何變化（包括其大小、修改時(shí)間等）。這是因?yàn)閣indows下不是所有程序都能支持ADS導(dǎo)致的。同樣dir、type等也不能看到。Notepad能夠部分支持ADS，可以打開test.txt:stream.txt，但notepad也不能完全支持，另存為時(shí)會(huì)出現(xiàn)參數(shù)錯(cuò)誤。

注：

1、修改宿主文件的內(nèi)容不會(huì)影響流的內(nèi)容。

2、修改流的內(nèi)容不會(huì)影響宿主文件的內(nèi)容。

MSDN上給出了一個(gè)完整的流的格式，如下：<filename>:<stream name>:<stream type>

filename          宿主文件的文件名

stream  name   流名

stream  type     流類型