Denne side bruger cookies
Dette forum bruger cookies. Hvis du er registreret, bruges de til at huske hvem du er logget ind som. Hvis ikke, gemmer vi dit sidste besøgstidspunkt. Besøgstidspunktet bruges bl.a. til at holde øje med, hvilke tråde du allerede har læst. Cookies er små tekstdokumenter, som bliver gemt i din browser og udgør ingen sikkerhedsrisiko. Tryk "Mere Information" nedenfor, for en liste over de cookies vi sætter. Du har mulighed for at fravælge cookies ved at klikke på knappen "Blokér Cookies" i bunden af denne boks.

En ikke-personhenførbar cookie vil blive gemt i din browser, uanset dit valg (Medmindre du ikke foretager et). Således undgår du at blive spurgt igen. Du kan til enhver tid ændre dit valg via linket i bunden af siden.

Tråd bedømmelse:
  • 1 Stemmer - 5 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Windows XP ADS i NTFS
03-11-2013, 04:15 (Denne besked var sidst ændret: 07-07-2015, 02:02 af iTick.)
#1
Windows XP ADS i NTFS
Intro:
ADS står for Alternate Data Stream, og er en funktion der eksisterer i Microsofts NTFS filsystem.
Oprindeligt er det vist for at have noget kompabilitet med nogle ældre Machintosh filsystemer.
Dette virker, så vidt jeg ved, i Windows XP og ældre Microsoft operativ systemer.
Nyere operativ systemer benytter OLE 2.0 structured storage (IStream and IStorage), som jeg desværre ikke har erfaring med.

Lidt om ADS:
ADS tillader at gemme filer i andre filer uden at påvirke de eksisterende filer.
Dvs. den originale fil, skifter ikke filstørrelse eller lign., når en anden fil gemmes oven i den.
Man vil heller ikke kunne se den nye fil, når man lister et directory med "dir" kommandoen. Derfor er det også vigtigt, man husker på, hvor man har gemt sin fil. Evt. brug den samme fil alle steder, man ønsker at bruge ADS.
For at se disse filer, som er gemt med ADS, skal man bruge nogle specielle værktøjer.
Umiddelbart lyder det lidt underligt at gemme en fil, oven i en anden fil, men det bliver forhåbentligt klart, med et eksempel.

Gem NetCat med ADS:
Lad os antage, vil gerne vil gemme NetCat på en windows computer,
men gerne vil skjule den fra brugeren, så kan vi gemme nc.exe oven i f.eks. notepad.exe.
Det er ikke et krav, at den fil, vi bruger til at skjule nc.exe i, er en eksekverbar fil.
Det kan lige så vel være en tekst fil. Det er selvfølgelig smart at vælge en fil, vi er sikker på, ikke bliver slettet.
F.eks. en fil, som følger med windows. Man skal bare overveje, om det er en som biver overskrevet af patches.

Kode:
c:\Windows\System32>type nc.exe > notepad.exe:nc.exe

Windows kommandoen type, skriver bare indholdet af nc.exe ud på skærmen. Dette er tilsvarende cat, more osv, på linux.
Vi tager så outputtet fra type, altså indholdet af nc.exe og piper det med ">" over i notepad.exe.
Vi vil så frem over referere til nc.exe under navnet "notepad.exe:nc.exe".

Eksekvering af NetCat:
Når vi skal starte nc.exe, som er gemt i notepad.exe, bruger vi windows kommandoen "start".

Kode:
c:\Windows\System32>start notepad.exe:nc.exe

Så simpelt er det! Man skal selvfølgelig slette den originale nc.exe, den som ikke er gemt via ADS. Dette påvirker ikke notepad.exe:nc.exe filen.
Det kan selvfølgelig gøres med "del" kommandoen. Hvis det gøres over Metasploit Meterpreter, er det en god idé at bruge "/Q" parametren, da man ellers kan miste sin session.
Den fortæller "del" kommandoen, man ønsker at bruge Quiet mode, hvilket betyder man ikke ønsker at blive prompted for noget.

Browsing ADS filer:
For at se, hvad der gemmer sig i ADS på notepad.exe, kan man bruge windows kommandoen "more" hvor vi piper indholder af notepad.exe:nc.exe ud i more kommandoen med "<".

Kode:
c:\Windows\System32>more < notepad.exe:nc.exe

Dette er dog ikke så brugbart, hvis det er en eksekverbar fil, man har gemt i notepad.exe.
Det kan selvfølgelig lige så godt være en tekstfil med dumps af NTML hashes, eller hvad man nu har fået fingre i.


Links:
http://support.microsoft.com/kb/105763
http://en.wikipedia.org/wiki/COM_Structured_Storage

EDIT:
I nyere windows, kan man se filer med ADS indhold, ved at bruge kommandoen "dir /R".
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-11-2013, 12:29
#2
RE: Windows XP ADS i NTFS
Smart, langt mere subtilt end den metode jeg kender hvor man simpelthen kopierer et arkiv ind ved siden af et billede og så kan billedet åbnes som det arkiv. Copy /b mener jeg nok det er.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-11-2013, 14:27
#3
RE: Windows XP ADS i NTFS
(03-11-2013, 12:29)Doctor Blue Skrev: Smart, langt mere subtilt end den metode jeg kender hvor man simpelthen kopierer et arkiv ind ved siden af et billede og så kan billedet åbnes som det arkiv. Copy /b mener jeg nok det er.

Ah, det kender jeg så til gengæld ikke. Det må jeg lige se hvad er. :)
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-11-2013, 20:43
#4
RE: Windows XP ADS i NTFS
(03-11-2013, 14:27)iTick Skrev: Ah, det kender jeg så til gengæld ikke. Det må jeg lige se hvad er. :)

Det er ret så enkelt...
Kode:
copy /b image.jpg + archive.zip output.jpg
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-11-2013, 00:06
#5
RE: Windows XP ADS i NTFS
(03-11-2013, 20:43)Doctor Blue Skrev: Det er ret så enkelt...
Kode:
copy /b image.jpg + archive.zip output.jpg

Det har jeg aldrig nogen sinde set. Humm. Det skal prøves. :D
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-11-2013, 11:34
#6
RE: Windows XP ADS i NTFS
(03-11-2013, 20:43)Doctor Blue Skrev: Det er ret så enkelt...
Kode:
copy /b image.jpg + archive.zip output.jpg

Yes det er et gammelt trik :B):
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)