Alternate Data Streams (ADS)

Les flux de données alternatifs (ADS) sont une fonctionnalité des systèmes de fichiers NTFS sous Windows qui permet d'associer plusieurs flux de données à un seul fichier. Ces flux supplémentaires peuvent contenir des informations cachées qui ne sont pas visibles lors de l'inspection traditionnelle du fichier. Nous allons exploiter cette fonctionnalité pour découvrir le flag root.

Les attaquants et les pentesters peuvent utiliser les ADS pour :

Cacher des fichiers malveillants (ex : un exécutable caché dans un fichier texte).
Éviter la détection par les antivirus et certains outils de sécurité.
Maintenir une persistance sur une machine compromise.

Exemple avec Notepad :

notepad test.txt:secret.txt

Ici, secret.txt est un fichier caché attaché à test.txt.

Les fichiers cachés ne sont pas visibles avec dir, mais tu peux les lister avec :

dir /r

Autre exemple : injection d’un exécutable dans un ADS :

type payload.exe > windowslog.txt:winpeas.txt

Cela insère payload.exe dans le flux alternatif winpeas.txt attaché à windowslog.txt.

Exécution du fichier caché :

start windowslog.txt:winpeas.exe

Cela exécute winpeas.exe, bien qu’il soit caché dans un ADS.

Création d’un Lien Symbolique pour Exécution Cachée

Un lien symbolique peut être utilisé pour tromper un utilisateur en lui faisant exécuter un binaire caché.

Exemple :

mklink wupadate.exe C:\Temp\windowslog.txt:winpeas.exe

Ce lien symbolique wupdate.exe pointe vers le fichier ADS caché.

wupdate

Si un utilisateur tape wupdate, le programme winpeas.exe s’exécutera.

Visualisation du contenu - ADS

1. Vérification des flux de données alternatifs (ADS)

Nous commençons par vérifier si le fichier hm.txt situé sur le bureau de l'utilisateur Administrator contient des flux de données alternatifs. Pour cela, nous utilisons la commande suivante :

dir /r C:\Users\Administrator\Desktop\hm.txt

Cette commande liste tous les flux de données alternatifs associés au fichier hm.txt. Si un flux de données alternatif est présent, il sera affiché.

2. Visualisation du contenu d'un flux de données alternatif

Si nous trouvons un flux de données alternatif associé au fichier, nous pouvons afficher son contenu avec la commande suivante :

more < C:\Users\Administrator\Desktop\hm.txt:root.txt

Cela nous permet de lire le contenu du flux root.txt et de récupérer le flag root :)

Mis à jour il y a 8 mois

Ce contenu vous a-t-il été utile ?