CSB文件上传漏洞 -->Day4(图片挂马)

22二号,冬至啦,深圳这边只有5°(尊嘟好冷啊),写这篇文章的时候都已经是凌晨一点了,相信大部分的人都在温暖的被窝里面了吧!!(可怜的我,还得写writeup)

                

1.图片木马🐎🐎🐎

与传统的Torjian hourse不同,图片木马通常不用于直接获取用户的主机控制权限(因此我们也不用担心你的好兄弟给你发的图片里面有能获取你电脑的木马)

所以说了半天,什么是文件马呢?

  • 文件木马:图片木马是指通过特定的技术手段,在看似正常的图片文件中隐藏恶意代码或信息,用于绕过安全检测,进行恶意活动。
  • 说人话,就是:常常被黑客用于攻击网站、窃取用户信息或进行其他恶意行为的一种"特殊图片"

                                                ​​​​​​​        ​​​​​​​        

2.图片木马的制作

最简单的制作方法,就是通过cmd来进行:

  • 首先准备你一个.php的木马文件和一张正常的照片
  • 其中webshell.php如下

        ​​​​​​​         其中的GIF89A用于被后端代码检验

  • 然后在cmd输入这行命令
copy Whomai.png + webshell.php  webshell.png

这里解释一下,Whomai.png->可以是你自己的一张正常的照片,webshell.php->是你写的木马php ,webshell.png->是生成的挂🐎图片,而且,最好这两张图片在同一路径的cmd下操作(减少出错的可能)

这样你就获得了一张图片马了!!接下来就是使用了:
 

3.upload靶场14-16关

图片马,一般都是需要结合利用浏览器漏洞,来进行对图片马的解析的!!

  • 先是将刚才写好的图片马上传,再点击箭头所指之处

  • 可以看到这样一个跳转(现实生活中也是要找存在这样一个可以包含include文件的点)

先来解析一下这段代码,这个php代码,使得这个页面对URL中所查询的文件(存在此目录下)直接包含(解析,并且执行)

由于这个页和刚才的文件上传的网页同在一个/upload下,所以可以对图片马来进行利用!!

  • 进行这样一个查询 192.168.154.138/upload/upload/include.php?file=./upload/3320231222125319.jpg

结果发现是乱码(其实也都不算吧,因为看见了gif89A说明就是被执行了)

思考一下,为什么会这样呢     哦哦哦哦哦,我的一句话木马是连接马,不是显示PHP的版本,怪不得,哈哈哈哈 (如下图,看见也是能成功连接!!)

所以这三关就过了!!

首先是14关         我们用GIF89Al来绕过

接着是15关   其中的getimagesize可以用于获取图片的minetype,也就是判断你上传的是不是图片,(废话,我上传的都是图片马了,那肯定是图片啊!!

接着就是16关,其中的exif_imagetype返回值与getimage()函数返回的索引2相同,但是速度比getimage快得多,所以???那不就还是第二关吗???过!!!!

                声明:图片不易过大或者过小,否则你将会收获报错提醒:

4.二次渲染ByPass

先声明一下,最好这关用gif的文件,一开始用png的,看的眼睛都花了也找不出来

        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​                ​​​​​​​        ​​​​​​​        

这里我提供一个gif吧,防止有人重蹈覆辙:

这一关呢就是一个二次渲染,什么是二次渲染呢(啊啊啊好烦啊,这只东西一直晃来晃去!

二次渲染:在我们上传文件后,网站会对图片进行二次处理(格式、尺寸,保存,删除 要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行显示。

所以我们上传的图片马的php代码会被替换掉,但是天无绝人之路有一些地方,他是不替换的

这时候,我们先上传一个图片马,再将生成的图片保存下来,放进二进制编辑器对比

怎么样晕了没,挺住,来了!!~~(离离原上谱)

所以,我们要做的就是把没有修改的地方,放进去一句话木马所对应的值

哈哈就可以了吧!!~~~

以上是upload靶场的前十七内容哦~~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/362827.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

微信小程序禁止刷新之后苹果端还可以下拉的问题

一、问题描述 最近在做一个小程序项目,需要禁止下拉刷新,于是在page.json里面添加了这段话 "enablePullDownRefresh":false 全局关闭下拉刷新,这段话确实禁止了下拉刷新,无论是安卓手机端还是苹果端,但是在…

Win32 Application和Win32 Console Application的区别

Win32 Application和Win32 Console Application都是工作在32位Windows环境的程序。其中Win32 Application就是普通的常见的窗口应用程序,当然有的界面做得比较个性化,比如圆形的、不规则形状的……它们都是所谓的GUI(Graphics User Interface图形用户接口…

调试OpenJDK

knowyourmeme.com/photos/531557 THX为mihn 有时调试Java代码还不够,我们需要逐步了解Java的本机部分。 我花了一些时间来实现JDK的正确状态,所以简短的描述可能对开始旅行的人很有用。 我将使用全新的OpenJDK 9! 首先,您必须通过…

算法题解:旋转数组的最小数字

题目描述 把一个数组最开始的若干个元素搬到数组的末尾,我们称之为数组的旋转。输入一个非递减排序的数组的一个旋转,输出旋转数组的最小元素。 解题思路 将旋转数组对半分可以得到一个包含最小元素的新旋转数组,以及一个非递减排序的数组。新…

函数的自执行,变量提升和函数提升

其实之前虽然刚开始学习JavaScript的时候经常看到function add(){}、var addfunction(){}、function(){}之类的这种写法,但是具体是什么叫什么却没有去考虑过这个问题…… function add(){}这种写法叫做函数声明 var addfunction(){}这种写法叫做函数表达式 fun…

Python之机器学习-sklearn生成随机数据

sklearn-生成随机数据 import numpy as np import pandas as pd import matplotlib.pyplot as plt from matplotlib.font_manager import FontProperties from sklearn import datasets %matplotlib inline font FontProperties(fname/Library/Fonts/Heiti.ttc) 多标签分类数据…

css:学习CSS了解单位em和px的区别

在国内网站中,包括三大门户,以及“引领”中国网站设计潮流的蓝色理想,ChinaUI等都是使用了px作为字体单位。只有百度好歹做了个可调的表率。而在大洋彼岸,几乎所有的主流站点都使用em作为字体单位,也就是可调的。没错&…

外汇游乐场

介绍 F X Playground是基于JavaFX的原型制作工具或实时编辑器,它消除了编译Java代码的步骤。 这个概念并不是什么新鲜事物,例如在网络世界中,有许多HTML5 游乐场提供在线编辑器,使开发人员可以快速原型化或尝试各种JavaScript库。…

轻轻松松看懂Spring AOP源码

轻轻松松看懂Spring AOP源码 https://baijiahao.baidu.com/s?id1596466083334197175&wfrspider&forpc 如果对spring的核心容器和JDK动态代理、CGLIB有所了解,接下来再看spring AOP源码会比较容易。文中所有代码片段截图对应的spring版本是5.0。 本文内容曾…

2015年,Web 进入移动时代

最近 Morgan Stanley 发布了一份87页的报告,对 Internet 的未来趋势进行预测,报告显示,移动 Web 目前发展迅猛,包括 Kindle, iPhone, 智能手机,平板电脑,GPS 设备,游戏机在内的无线设备呈爆炸式…

vue2.0移除或更改的一些东西

一、vue2.0移除了$index和$key 虽然说现在很多文章说他们的代码是vue2.0版本的,但是有一些仔细一看,发现并不全是2.0版本,有些语法还是1.0的版本,比如这个$index,$key,这两个压根就不是2.0的写法,2.0早就把…

VGG16等keras预训练权重文件的下载及本地存放

VGG16等keras预训练权重文件的下载: https://github.com/fchollet/deep-learning-models/releases/ .h5文件本地存放目录: Linux下是放在“~/.keras/models/”中 Win下则放在Python的“settings/.keras/models/”中 在anaconda on win中默认是&#xff1…

Java Keystore教程

目录 1.简介 2. SSL及其工作方式 3.私钥 4.公开证书 5.根证书 6.证书颁发机构 7.证书链 8.使用Java keytool的密钥库 9.密钥库命令 10.在Apache Tomcat上使用密钥库和自签名证书配置SSL 1.简介 我们谁没有去ebay,亚马逊买东西或他的个人银行帐户来检查。 您是否认为…

spring AOP源码分析(一)

spring AOP源码分析(一) 对于springAOP的源码分析,我打算分三部分来讲解:1.配置文件的解析,解析为BeanDefination和其他信息然后注册到BeanFactory中;2.为目标对象配置增强行为以及代理对象的生成&#xff…

异或前缀和,组合数学——cf1054D

/* 每个异或前缀和sum[i]只有两个值 区间异或和不为0,即两个不相等的前缀和 sum[i]的两个前缀和只要标记一个就可以了,为了去重只用map保存最小的那个来计数 最后统计相同的前缀和时,为了使相同的最小,每个map的值要平分 */ #inc…

elementUI之switch应用的坑

前言: 因为项目中用到了饿了么出品的element-ui这一套ui框架,所以很多地方都踩在了坑里,前面碰到了一些,今天着重聊一下switch这个组件。 首先switch接受Boolean类型的数据,莫非是true和false。 对switch进行赋值&a…

C# 反射机制(转)

1、 什么是反射2、 命名空间与装配件的关系3、 运行期得到类型信息有什么用4、 如何使用反射获取类型5、 如何根据类型来动态创建对象6、 如何获取方法以及动态调用方法7、 动态创建委托 1、什么是反射 Reflection,中文翻译为反射。 这是.Net中获取运…

《软件工程导论》课后习题解答

来源:https://blog.csdn.net/Rong_Toa/article/details/80771976 第一章 软件工程概论 1.什么是软件危机? 软件危机是指在计算机软件的开发和维护过程中所遇到的一系列严重问题。这些问题表现在以下几个方面: (1)用户对开发出的软…

attr和prop的区别以及在企业开发中应该如何抉择

attr和prop有很多相同的地方,比如都可以操作标签的属性节点,而且获取的时候都只可以获取到相同节点的第一个,例如这样: $(span).attr(class);和$(span).prop(class);都只能返回第一个span的class 同理做属性的修改和添加,删除也都…

从n个数里面找最大的两个数理论最少需要比较

答案是:nlogn-2 过程是这样的:甲乙比甲胜出,丙丁比丙胜出,最后甲丙比较,甲胜出。。。容易得出找出最大数为n-1次。现在开始找出第二大的数字:明显,第二大的数字,一定和甲进行过比较。…