Пытаюсь решить задачу в квесте новичка Google CTF 2019. В задаче есть файл NTFS. Я знаю, что файл имеет альтернативный поток данных (в подсказке упоминаются расширенные атрибуты).
Я не знаю, как получить доступ к AD в терминале Linux. Я использовал несколько инструментов и ключевых слов, но не смог раскрыть AD, не говоря уже о том, чтобы получить к ним доступ.
решение1
В терминах Windows dir /rне показывает расширенные атрибуты; он показываетАльтернативные потоки данных(Хотя EA существуют в Windows, они в основном рассматриваются как пережиток OS/2.)
Неизвлеките содержимое файловой системы с помощью случайных инструментов, таких как 7zip. Это приведет к потере большинства метаданных (включая EA и ADS), поскольку эти инструменты их не понимают и/или не заботятся о них. Вам нужно проверить файл, пока он все еще находится внутри исходного образа файловой системы NTFS.
Для проверки содержимого образа можно использовать ntfs-progs:
ntfsls -l <image> ntfsinfo -F <path> <image>Вы можете смонтировать образ с помощью NTFS-3G с помощью
streams_interface=xattr, а затем просто запросить список xattrs (в этом режиме каждый поток NTFS отображается как Linux xattr):attr -l <path> getfattr <path>Вы можете смонтировать образ с помощью NTFS-3G с помощью
streams_interface=windows, а затем запросить виртуальный xattr "ntfs.streams.list":attr -g ntfs.streams.list <path> getfattr -n user.ntfs.streams.list <path>