发布日期：1999-11-30
更新日期：1999-11-30

受影响系统：

Microsoft Windows NT 4.0
+Microsoft Windows NT 4.0SP6
+Microsoft Windows NT 4.0SP5
+Microsoft Windows NT 4.0SP4
+Microsoft Windows NT 4.0SP3
+Microsoft Windows NT 4.0SP2
+Microsoft Windows NT 4.0SP1

描述：

---

SUBST命令用来在现有驱动器上映射一个盘符到一个文件夹。这个命令任何用户都可以使用。运行后，直到被删除、用subst命令的"-d"选项重新发布、重启动机器为止它都有效。登陆   
退出并不能删除这个映像。所以，可能出现这种情况：一个控制台用户映像一个盘符到一个选择的文件夹，然后退出，给下一个用户留下了这个映像。如果这个用户试图用手工映像一个不同的区域到这个盘符，就会出现error 85 "The local device name is already in use."但是，如果这个盘符与网络映射的本地驱动器一样，这个操作在没有任何错误信息提示的情况下失败。从用户的角度来看，没有任何的提示来让他们知道这个“home driver"根本不是他们通常使用的本地驱动器。这种情况造成了恶意用户可以使用木马或恶意程序的可能性，也可能造成把机密文档写入一个公共区域，甚至是网络共享区域。

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

检验方法：   
例如： 在一个本地驱动器为H的网络上：   
subst h: c:\temp\fakehome   
logout and wait...

建议：

---

在每个驱动器的注册脚本中加入一行：   
if exist subst /D

浏览次数：7546
严重程度：0（网友投票）