NTFS ADS（NTFS數據交換流） 帶來的WEB安全問題

ADS帶來的WEB安全問題並不是什麼新鮮事了，幾個月前偶然的原因和好友Rstar一起系統地做了很多測試，Rstar前段時間已經在PKAV和Wooyun上公開過，我把當時寫的paper也發出來吧，希望能有更多的***場景被髮掘。一個下午趕出來的paper，部分語句還有問題，之後一直沒時間改了，將就看吧 ，slide因爲涉及公司內容就暫時不放出來了：）



NTFS ADS帶來的WEB安全問題

Author：Rstar && pysolve



NTFS ADS簡介

NTFS流全稱爲NTFS交換數據流（NTFS Alternate Data Streams），ADS的誕生是爲了兼容Hierarchical File System 。HFS—分層文件系統，是由蘋果公司推出的文件系統，其工作模式是將不同數據存在不同的分支文件，文件數據存放在數據分支而文件參數存放在資源分支。類似的，NTFS流使用資源派生來維持與宿主文件相關的信息。ADS有點類似文件的屬性信息一樣，依附於文件的傳統邊界之外。

來看一個ADS的實例，通常這個例子在講到ADS的地方都會提到。新建一個文件，命名爲test.txt，該文件即是宿主文件；打開文件，輸入內容”test”。在該目錄下執行命令 echo ”This is astream” > test.txt:stream.txt 建立後cmd不會有任何提示且對於Windows資源管理器來說宿主文件沒有發生任何變化（包括其大小、修改時間等）。這是因爲windows下不是所有程序都能支持ADS導致的。同樣dir、type等也不能看到。Notepad能夠部分支持ADS，可以打開test.txt:stream.txt，但notepad也不能完全支持，另存爲時會出現參數錯誤。

注：

1、修改宿主文件的內容不會影響流的內容。

2、修改流的內容不會影響宿主文件的內容。

MSDN上給出了一個完整的流的格式，如下：<filename>:<stream name>:<stream type>

filename          宿主文件的文件名

stream  name   流名

stream  type     流類型