Windows NTFS 文件系统渗透测试技巧全集<\/h1>

目录<\/h2>

技巧1: 创建没有权限的文件夹 (CVE-2018-1036)<\/a><\/li>
技巧2: 使用供选数据流(ADS)绕过路径限制<\/a><\/li>
技巧3: 创建无法通过"..."文件夹找到的文件<\/a><\/li>
技巧4: "隐藏"目录连接的指向目标<\/a><\/li>
技巧5: 隐藏供选数据流(ADS)<\/a><\/li>
技巧6: 隐藏进程二进制<\/a><\/li>
Windows CMD的技巧<\/a><\/li>

<\/p>

技巧1: 创建没有权限的文件夹 (CVE-2018-1036)<\/h2>

原理<\/h3>
Windows允许为文件夹设置特殊权限，例如允许创建文件但不允许创建文件夹。通过在文件名末尾添加`::$INDEX_ALLOCATION<\/code>可以绕过这种限制。<\/p>`

操作步骤<\/h3>

在受限文件夹(如C:\Windows\Tasks\)中执行：

mkdir test::$INDEX_ALLOCATION
<\/code><\/pre>
<\/li>
现在可以在创建的文件夹中自由创建文件和子文件夹<\/li>
<\/ol>
删除方法<\/h3>
rd test::$INDEX_ALLOCATION
<\/code><\/pre>
影响<\/h3>

绕过ACL权限限制<\/li>
可能导致权限提升<\/li>
微软已修复(CVE-2018-1036)<\/li>
<\/ul>
<\/p>
技巧2: 使用供选数据流(ADS)绕过路径限制<\/h2>
ADS基础<\/h3>

文件格式：<文件名>:<数据流名称>:<类型><\/code><\/li>
默认格式：test.txt::$DATA<\/code><\/li>
特殊流：Zone.Identifier<\/code>(下载文件时自动添加)<\/li>
<\/ul>
关键技巧<\/h3>


执行ADS中的程序<\/strong>：<\/p>
wmic process call create "C:\test:Putty.exe"
<\/code><\/pre>
<\/li>

文件夹ADS<\/strong>：<\/p>
echo 123 > C:\Windows\Tracing:test.dll
<\/code><\/pre>

路径解析会返回C:\Windows\，但实际上文件存储在C:\Windows\Tracing中<\/li>
<\/ul>
<\/li>

绕过安全检查<\/strong>：<\/p>

上传:foo.ps1<\/code>文件，创建applicationFolder\uploadedData:foo.ps1<\/code><\/li>
安全检查认为文件在applicationFolder\<\/code>中<\/li>
<\/ul>
<\/li>

特殊字符<\/strong>：<\/p>

使用原生API创建包含"<\/code>或*<\/code>的文件名<\/li>
可能导致路径解析问题或XSS<\/li>
<\/ul>
<\/li>
<\/ol>
<\/p>
技巧3: 创建无法通过"..."文件夹找到的文件<\/h2>
创建特殊文件夹<\/h3>
mkdir ....::$INDEX_ALLOCATION
<\/code><\/pre>
访问方法<\/h3>
cd ...\...\
<\/code><\/pre>
特性<\/h3>

无法通过GUI(explorer.exe)正常访问<\/li>
PowerShell搜索会陷入无限循环<\/li>
大多数命令行工具可以访问<\/li>
反病毒软件通常可以检测其中内容<\/li>
<\/ul>
<\/p>
技巧4: "隐藏"目录连接的指向目标<\/h2>
创建隐藏目录连接<\/h3>
mklink \/J "..." "C:\Windows\System32"
<\/code><\/pre>
特性<\/h3>

dir<\/code>命令显示[...]<\/code>而非实际目标<\/li>
可以创建多级连接点<\/li>
路径混淆可能导致执行错误文件<\/li>
<\/ul>
安全影响<\/h3>

可用于TOCTOU攻击<\/li>
可能绕过应用程序白名单<\/li>
<\/ul>
<\/p>
技巧5: 隐藏供选数据流(ADS)<\/h2>
隐藏方法<\/h3>


使用保留名<\/strong>：<\/p>
echo 123 > ...:hidden.txt
<\/code><\/pre>

不会显示在dir \/r<\/code>或streams.exe中<\/li>
<\/ul>
<\/li>

添加空格和点<\/strong>：<\/p>
echo test > "test. .::$DATA"
<\/code><\/pre>

工具无法正常访问<\/li>
<\/ul>
<\/li>

驱动器根目录ADS<\/strong>：<\/p>
echo 123 > C:\:abc.txt
<\/code><\/pre>

隐藏在dir \/r<\/code>中<\/li>
<\/ul>
<\/li>
<\/ol>
<\/p>
技巧6: 隐藏进程二进制<\/h2>
操作步骤<\/h3>


创建三个文件：<\/p>

file<\/code>(合法程序)<\/li>
file. .<\/code>(恶意程序)<\/li>
filex x<\/code>(另一个合法程序)<\/li>
<\/ul>
<\/li>

使用调试器(WinDbg)修改进程创建参数：<\/p>

在ntdll!NtCreateUserProcess<\/code>设置断点<\/li>
修改文件名指针，将x<\/code>改为.<\/code><\/li>
<\/ul>
<\/li>

结果：<\/p>

执行file. .<\/code>(恶意程序)<\/li>
任务管理器显示file<\/code>的签名<\/li>
Process Explorer显示filex x<\/code>的路径<\/li>
<\/ul>
<\/li>
<\/ol>
影响<\/h3>

可能绕过基于哈希的白名单检查<\/li>
进程信息显示不准确<\/li>
<\/ul>
<\/p>
Windows CMD的技巧<\/h2>
命令混淆<\/h3>


插入^符号<\/strong>：<\/p>
ca^l^c
<\/code><\/pre>

等同于calc<\/code><\/li>
<\/ul>
<\/li>

零长度环境变量<\/strong>：<\/p>
cal%os:~0,-56%c
<\/code><\/pre>

利用子字符串创建空变量<\/li>
<\/ul>
<\/li>

路径技巧<\/strong>：<\/p>
C:\Windows\/\\/\/\system32\calc.exe
<\/code><\/pre>

混合使用\<\/code>和\/<\/code><\/li>
<\/ul>
<\/li>

UNC路径<\/strong>：<\/p>
\\127.0.0.1\C$\windows\system32\calc.exe
<\/code><\/pre>
<\/li>
<\/ol>
<\/p>
防御建议<\/h2>


权限设置<\/strong>：<\/p>

不要仅依赖文件夹创建权限作为安全边界<\/li>
<\/ul>
<\/li>

路径处理<\/strong>：<\/p>

规范化所有路径<\/li>
检查特殊字符和ADS<\/li>
<\/ul>
<\/li>

进程监控<\/strong>：<\/p>

不依赖表面信息验证进程合法性<\/li>
<\/ul>
<\/li>

工具使用<\/strong>：<\/p>

使用专门工具检测ADS和特殊文件夹<\/li>
考虑使用原始磁盘扫描而非API<\/li>
<\/ul>
<\/li>

输入验证<\/strong>：<\/p>

严格验证文件名和路径输入<\/li>
处理所有可能的路径表示形式<\/li>
<\/ul>
<\/li>
<\/ol>
参考资源<\/h2>

Microsoft NTFS文档<\/a><\/li>
Google Project Zero文章<\/a><\/li>
ADS隐藏技巧<\/a><\/li>
AVGater攻击<\/a><\/li>
<\/ul>

Windows NTFS 文件系统渗透测试技巧全集<\/h1>

技巧1: 创建没有权限的文件夹 (CVE-2018-1036)<\/h2>

原理<\/h3> Windows允许为文件夹设置特殊权限，例如允许创建文件但不允许创建文件夹。通过在文件名末尾添加::$INDEX_ALLOCATION<\/code>可以绕过这种限制。<\/p>

技巧2: 使用供选数据流(ADS)绕过路径限制<\/h2>

技巧3: 创建无法通过"..."文件夹找到的文件<\/h2>

技巧4: "隐藏"目录连接的指向目标<\/h2>

技巧5: 隐藏供选数据流(ADS)<\/h2>

技巧6: 隐藏进程二进制<\/h2>

Windows CMD的技巧<\/h2>

参考资源<\/h2> Microsoft NTFS文档<\/a><\/li> Google Project Zero文章<\/a><\/li> ADS隐藏技巧<\/a><\/li> AVGater攻击<\/a><\/li> <\/ul>

原理<\/h3>
Windows允许为文件夹设置特殊权限，例如允许创建文件但不允许创建文件夹。通过在文件名末尾添加`::$INDEX_ALLOCATION<\/code>可以绕过这种限制。<\/p>`

参考资源<\/h2>

Microsoft NTFS文档<\/a><\/li>
Google Project Zero文章<\/a><\/li>
ADS隐藏技巧<\/a><\/li>
AVGater攻击<\/a><\/li> <\/ul>