对NT Subst.exe 漏洞的阐述

以下的文章主要描述的是NT Subst.exe 漏洞，如果你对NT Subst.exe 漏洞有兴趣的话，你就可以对以下的文章点击观看了，以下就是文章的主要内容的详细描述，望大家在浏览之后会对其有更深的了解。

受影响系统：

Microsoft Windows NT 4.0

+Microsoft Windows NT 4.0SP6

+Microsoft Windows NT 4.0SP5

+Microsoft Windows NT 4.0SP4

+Microsoft Windows NT 4.0SP3

+Microsoft Windows NT 4.0SP2

+Microsoft Windows NT 4.0SP1

描述：

SUBST命令用来在现有驱动器上映射一个盘符到一个文件夹。这个命令任何用户都可以使用。运行后，直到被删除、用subst命令的"-d"选项重新发布、重启动机器为止它都有效。登陆

退出并不能删除这个映像。所以，可能出现这种情况：一个控制台用户映像一个盘符到一个选择的文件夹，然后退出，给下一个用户留下了这个映像。如果这个用户试图用手工映像一个不同的区域到这个盘符，就会出现error 85 "The local device name is already in use."但是，如果这个盘符与网络映射的本地驱动器一样。

这个操作在没有任何错误信息提示的情况下失败。从用户的角度来看，没有任何的提示来让他们知道这个“home driver"根本不是他们通常使用的本地驱动器。这种情况造成了恶意用户可以使用木马或恶意程序的可能性，也可能造成把机密文档写入一个公共区域，甚至是网络共享区域。

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负!

检验方法：

例如：在一个本地驱动器为H的网络上：

subst h: c:tempfakehome

logout and wait...

建议：

在每个驱动器的注册脚本中加入一行：

if exist subst /D

以上的相关内容就是对NT Subst.exe 漏洞的介绍，望你能有所收获。