Google CTF 2019 초보자 퀘스트 과제를 해결하려고 합니다. 작업에 NTFS 파일이 있습니다. 파일에 대체 데이터 스트림이 있다는 것을 알고 있습니다(힌트에 확장 속성이 언급되어 있음).
Linux 터미널에서 AD에 액세스하는 방법을 모르겠습니다. 여러 도구와 키워드를 사용했지만 광고에 접근은커녕 노출도 할 수 없었습니다.
답변1
Windows 용어로는 dir /r확장 속성을 표시하지 않습니다. 이것은 보여준다대체 데이터 스트림. (EA는 Windows에 존재하지만 대부분 OS/2의 유물로 취급됩니다.)
하지 마라7zip과 같은 임의의 도구를 사용하여 파일 시스템의 내용을 추출합니다. 이러한 도구는 메타데이터를 이해하지 못하거나 관심을 두지 않기 때문에 대부분의 메타데이터(EA 및 ADS 포함)가 손실됩니다. 원본 NTFS 파일 시스템 이미지 내에 있는 동안 파일을 검사해야 합니다.
ntfs-progs를 사용하여 이미지 내용을 검사할 수 있습니다.
ntfsls -l <image> ntfsinfo -F <path> <image>를 사용하여 NTFS-3G를 사용하여 이미지를 마운트
streams_interface=xattr한 다음 xattrs 목록을 쿼리할 수 있습니다(이 모드에서는 각 NTFS 스트림이 Linux xattr로 표시됩니다).attr -l <path> getfattr <path>NTFS-3G를 사용하여 이미지를 마운트한
streams_interface=windows다음 가상 "ntfs.streams.list" xattr을 쿼리할 수 있습니다.attr -g ntfs.streams.list <path> getfattr -n user.ntfs.streams.list <path>