权限维持是网络安全中的一个重要领域,攻击者在成功入侵服务器并获取主机权限后,通常会采取多种手段来隐藏其入侵路径,从而保持对系统的控制。这些手段包括利用文件包含漏洞、远程任意代码执行漏洞、sql注入点、系统自启动后门以及隐藏webshell等。本文将详细介绍如何使用ads数据流来隐藏webshell,以及如何通过iguard来防御这种攻击。
一、NTFS文件系统与ADS特性
- 什么是NTFS和ADS?
NTFS(New Technology File System)是微软开发的一种文件系统,自Windows NT 3.1以来一直是Windows NT系列操作系统的默认文件格式。NTFS不仅在Linux和BSD环境下通过NTFS-3G驱动得到了支持,相较于旧的FAT文件系统,它还提供了更多的元数据和高级数据支持,在性能、可靠性和磁盘利用率方面都有显著提升。此外,NTFS在安全性方面也进行了扩展,支持ACL列表和文件系统日志。
NTFS引入了一个名为ADS(Alternate Data Stream)的概念。尽管未来文件系统可能不再支持ADS,但在Windows NT系列的未来版本中,ADS仍将继续得到支持。ADS最常见的应用场景是微软Internet Explorer在下载可能存在安全隐患的文件时,会自动添加一个名为「Zone.Identifier」的ADS流,用于记录文件的下载来源。当系统尝试执行这些文件时,如果检测到「Zone.Identifier」ADS流,会提示用户该文件可能存在安全风险,并询问是否继续执行。用户确认后,操作系统会删除该ADS流,避免后续再次提示。其他浏览器也逐渐采用了这一特性。下图展示了一个下载文件的ADS流标记,显示其下载来源:
图1
然而,使用Windows资源管理器浏览文件时,默认情况下并不会显示文件的ADS流信息和大小。通过使用特定的命令行工具或Powershell,以及特定的参数,可以查看这些信息(详见下文)。微软的Sysinternals工具套装中提供了一个名为"Streams"的工具,专门用于查看和删除ADS流信息。
由于ADS流具有隐蔽性,恶意软件和网页木马常利用这一特性来隐藏恶意代码,逃避检测。
该系统采用多层模式开发,这个网站主要展示女装的经营,更易于网站的扩展和后期的维护,同时也根据常用的SQL注入手段做出相应的防御以提高网站的安全性,本网站实现了购物车,产品订单管理,产品展示,等等,后台实现了动态权限的管理,客户管理,订单管理以及商品管理等等,前台页面设计精致,后台便于操作等。实现了无限子类的添加,实现了动态权限的管理,支持一下一个人做的辛苦
- 如何使用ADS?
Windows NT Resource Kit文档中描述了ADS的语法如下:
filename:stream
可以将ADS流理解为文件的一个附加属性,其名称由冒号后的stream部分定义,可以自由选择。一个文件可以拥有多个不同名称的ADS流,只要冒号后的名称不同,这些ADS流就各自独立,拥有自己的内容。
例如,向一个网页文件(index.php)写入一个名为「th000.jpg」的ADS流(实际写入的是PHP一句话木马):
echo ^ >index.php:th000.jpg
使用more命令查看index.php文件中的「th000.jpg」ADS流(注意:type命令无法查看ADS流):
more < index.php:th000.jpg
