发现图片里含有一句话木马，含有木马的图片到底是怎么运行的

我记得以前可以通过 pathinfo 的漏洞来运行

@inroading 大牛，来指导下

@tabris17 现在是不是不行了？

只要让服务器把图片当作 php 脚本解析就行了，方法有很多，除了楼上提到的以外也有可能有本地文件包含漏洞

两种情况，第一种是服务器解析成了 php 格式的才是真正的木马，就是用解析漏洞进行解析为执行代码；第二种是测试的时候，比如前端限制了只允许上传图片格式的，那么先拦截包，多发送几次，第一次可能没有改文件的后缀，就成功上传上了，后面改了后缀被拒绝就没上传成功，于是你就发现你服务器里面有个图片马（纯猜测）

解析成 php 拿菜刀连

@sola97 如何解析？ 你的意思是本地服务器吧线上的一个图片地址解析成 php 在本地执行吗？
@tar 是图片里含有木马哈，jpg 格式的，不是 php 格式的
@fcten 请问大佬，怎么让本地服务器吧图片当做 php 解析呢？ 本地环境是 phpstudy

直接留 eval 的后门很容易被检测到,所以把一句话放图片里,然后搭配 include 来用........

图片马上传后利用文件包含漏洞来执行

把图片 include 呢？方法很多的。

也有可能是黑客测试时留下的，不一定被入侵成功了。比如我测试上传漏洞，上传一个扩展名是 jpg 的文件，尝试利用漏洞截断，达到服务器把这个文件保存成 php 的文件目的，结果没成功，还是保存成了 jpg，就留下了这么一个文件。

Nginx 文件类型错误解析漏洞。前不久我参考这个 https://www.cnblogs.com/batsing/p/nginx_bug1_attack.html 做了测试，nginx/1.13.6，php-7.1.11 ，问题依然存在。想不明白为什么 Nginx 和 PHP 一直很难搭档，没有点改变。

@Telegram 嗯 我吧图片放在本地环境下 用 include 引用图片地址，执行了，生成了一个 php 文件，可以执行。<br/>然后我用 include 方法远程引用线上的图片，线上没生成 php 文件呢，线上没生成 php 呢，我就纳闷这个图片包含的木马是怎么执行的，如果他可以在线上上传 php 或者修改 php 文件，就没有这么麻烦了吧，直接上传或者修改成大马就行了……

cat *.jpg | sh

@lxy 线上服务器是 iis 呢 不是 nginx

没事呀，只要这个图片不解析成 PHP 就可以了。

图片后缀会当成图片解析。

比如很早以前的 iis 6.0 漏洞就会把图片后缀的后缀截成 php 后缀, 当作 PHP 脚本运行。

@mingzu 我试了下，现在不行 哈哈

很早之前可以 a.com/a.jpg/n.php 或者 a.com/a.jpg%00.php

@hasdream 你说的是 a.com/a.jpg 空格.php 吧 这个我也试了，也失效啦

a.asp/1.jpg 即*.asp 目录下的文件会被当做可执行脚本执行，好像是 iis6.0 的漏洞

解析漏洞以及文件包含可以触发这个后门,现在稍微环境新一点都不会有解析漏洞的。