thinkphp 检测上传的图片中是否含有木马脚本

最新推荐文章于 2022-03-24 09:25:08 发布
最新推荐文章于 2022-03-24 09:25:08 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: Php 文章标签: 图片木马 thinkphp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27782857/article/details/100923658
版权

1.检测原理

	要想检测图片中是否含有木马脚本,首先从制作原理来分析这种木马程序。这种木马程序是十六进制编码写的,图片的十六进制代码中主要包含<% ( ) %>、<? ( ) ?> 、<script | /script>,所以我们可以通过检测十六进制代码来检测木马脚本。

2.解决方案

	2.1编写Upload类
	要想上传图片文件,先定义一个上传文件的方法,然后方法中调用thinkphp中框架写好的Upload类,但是tp框架中的upload类没有检测木马图片的功能,所以我们可以自己写一个含有检测功能的upload类。

<?php
/**
  +------------------------------------------------------------------------------
* Upload 文件上传类
  +------------------------------------------------------------------------------
* @package   Upload
  +------------------------------------------------------------------------------
*/
class Upload {
      private static $image = null;
      private static $status = 0;
      private static $suffix = null;
      private static $imageType = array('.jpg', '.bmp','.gif','.png');  //允许的图片类型
      private static $message = array(  //文件上传错误信息
            '0' => '没有错误发生,文件上传成功。',
            '1' => '上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值。',
            '2' => '上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值。',
            '3' => '文件只有部分被上传。',
            '4' => '没有文件上传。',
            '5' => '未能通过安全检查的文件。',
            '6' => '找不到临时文件夹。',
            '7' => '文件写入失败。',
            '8' => '文件类型不支持',
            '9' => '上传的临时文件丢失。',
      );
      //@ 开始执行文件上传
      public static function start($feild = 'file') {
            if (!empty($_FILES)) {
                self::$status = $_FILES[$feild]['error'];
               if (self::$status > 0)
                      return array('status' => self::$status, 'msg' => self::$message[self::$status]);
                  self::$image = $_FILES[$feild]['tmp_name'];
                  self::$suffix = strtolower(strrchr($_FILES[$feild]['name'], '.'));
                  return array('status' => self::_upload(), 'path' => self::$image, 'msg' => self::$message[self::$status]);
           } else {
                  return array('status' => self::$status, 'msg' => self::$message[self::$status]);
           }
}
    //@ 私有 上传开始
    private static function _upload($path = './upload/') {
        date_default_timezone_set('PRC');
        $newFile = $path . date('Y/m/d/His') . rand(100, 999) . self::$suffix;  //定义上传子目录
        self::umkdir(dirname($newFile));
        if (is_uploaded_file(self::$image) && move_uploaded_file(self::$image, $newFile)) {
            self::$image = $newFile;                // 生成的新文件名
            if (in_array(self::$suffix, self::$imageType))   // 判断上传类型是否符合规定
                return self::checkHex();             // 返回木马脚本检测的返回值
            else
                return self::$status = 0;
        } else {
            return self::$status = 9;
        }
    }
    //@ 私有 16进制检测
    private static function checkHex() {
        if (file_exists(self::$image)) {
            $resource = fopen(self::$image, 'rb');
            $fileSize = filesize(self::$image);
            fseek($resource, 0);   //把文件指针移到文件的开头
            if ($fileSize > 512) { // 若文件大于521B文件取头和尾
                $hexCode = bin2hex(fread($resource, 512));
                fseek($resource, $fileSize - 512);  //把文件指针移到文件尾部
                $hexCode .= bin2hex(fread($resource, 512));
            } else { // 取全部
                $hexCode = bin2hex(fread($resource, $fileSize));
            }
            fclose($resource);
            /* 匹配16进制中的 <% ( ) %> */
            /* 匹配16进制中的 <? ( ) ?> */
            /* 匹配16进制中的 <script | /script> 大小写亦可*/

      /* 核心  整个类检测木马脚本的核心在这里  通过匹配十六进制代码检测是否存在木马脚本*/

            if (preg_match("/(3c25.*?28.*?29.*?253e)|(3c3f.*?28.*?29.*?3f3e)|(3C534352495054)|(2F5343524950543E)|(3C736372697074)|(2F7363726970743E)/is", $hexCode))
                self::$status = 5;
            else
                self::$status = 0;
            return self::$status;
        } else {
            return self::$status = 9;
        }
    }
    //@ 私有 创建目录
    private static function umkdir($dir) {
        if (!file_exists($dir) && !is_dir($dir)) {
            self::umkdir(dirname($dir));
            @mkdir($dir);
        }
    }
}


这个类配合自己定义的上传图片的方法  可以检测上传图片是否存在木马脚本

3.制作木马图片

3.1制作过程
	1.随便找一张图片,名字改成1.jpg。
	
	2.将<%eval request("keio")%> 存为1.php。
	
	3.copy 1.jpg /b + 1.php /a  2.jpg 存为1.bat文件。
	
(具体操作方法:打开-运行-cmd,进入下面这个界面,然后cd 进入放置文件的路径,然后输入命令copy 1.jpg/b+1.php 2.jpg 
然后回车就系统就会自动把这两个文件组合起来,形成一个含有木马脚本的图片。)

3.2查看图片

	你可以用text文档打开2.jpg,就发现我们的一句话木马就写入到了图片中。

	解释:
		复制当前目录下的 1.jpg 图片和当前目录下的 1.php 文件并以ASCII代码的方式合并为2.jpg 图片
		运行 1.bat 就会出现一个图片 2.jpg
		而这个2.jpg就是已经做好的木马了

4.上传检测

我们将制作的木马图片上传,检测我们的十六进制检测木马脚本的方法是不是好使。
PHP检测上传图片是否木马
曹品东
10-22 1297
header("Content-type: text/html; charset=utf-8"); function checkHex($img) { $status = 0; $tips = array( "0" => "文件没问题", "5" => "文件有毒", "-1" => "文件没有上传" ); ...
实践php检测图片木马
NiceGY
04-11 5620
实践php检测图片木马
PHP检测本地图片是否木马
04-20
也可以用linux服务器上的木马扫描软件,比如 Clamav 支持命令行执行的,上传之后就扫一下,最可靠, $last_line = system('php /var/bin/clamdscan upload.jpg'); 根据扫描结果就可以判断了 $rs = checkMuma("sucaihuo.png"); $tips = array( "0" => "文件没问题", "5" => "文件有毒", "-1" => "文件没有上传" );
处理图片木马的函数
xqf222的专栏
09-28 1634
检测处理图片木马的函数一般木马程序中都包含有 很多的网页木马代码我跟本就没有见过,不要以为是万能的哦呵呵On Error Resume NextServer.ScriptTimeOut=9999999if request("action")="GetFile" thenFileUrl=trim(request("FileUrl"))FileContent=getHTTPPag
php网站图片上传攻击,你不知道的文件上传漏洞php代码分析
weixin_32602879的博客
03-10 614
漏洞描述开发中文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护。文件处理一般包含两项功能,用户上传和展示文件,如上传头像。文件上传攻击示例upload.php$uploaddir = 'uploads/';$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);if (move_uploaded_f...
ONETHIK上传多张图片.rar
11-29
- 对上传图片进行安全检查,防止病毒或木马文件的上传。 以上就是关于ONETHINK多图上传的详解,包括其原理、配置过程、使用步骤以及常见问题的解决。通过这个功能,开发者可以轻松地在ONETHINK项目中实现丰富的...
网站漏洞测试 关于webshell木马后门检测
网站安全资讯
11-07 908
前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,I...
thinkphp3.1.3 getshell_两个weblogic的漏洞的Getshell验证
weixin_39873456的博客
11-11 1013
本文复现了weblogic的Weblogic CVE-2019-2725和Weblogic CVE-2017-10271两个漏洞,从批量扫描到Getshell的整个过程。主要侧重如何构造Payload去GetShell(所以扫描工具和命令执行的截图是网图),批量扫描和命令执行直接找weblogic在github的几款工具即可。在这里就不分享了,只分享payload请求代码。有问题可以留言。Webl...
php 图片木马检测
weixin_30709635的博客
07-23 677
thinkphp 自带一些基本检测,在网上查了一下 又添加了16进制检测 代码如下 我是在tp的upload 文件里添加调用的 if($this->checkHex($file['tmp_name'])!='0'){ $this->error = '上传非法图片'; return false; }; private static function checkHex($imag...
Thinkphp图片水印和文字水印
weixin_30342209的博客
02-20 475
1.Thinkphp图像处理   在TP框架中,我们经常用到图片上传,我最近写了很多关于图片上传的文章,thinkphp图片上传+validate表单验证+图片木马检测+缩略图生成等文章,今天写一下关于图片上传成功后给图片加水印文字或者加图片水印,      1.1图片处理类和库   首先,在Thinkphp\Think\Image类中有图像处理功能,支持Gd库和Imagick库,包括对G...
记录一期Thinkphp5 WebShell木马渗透的经历, 加修复建议
DWH的博客
12-26 8993
ThinkPHP的宗旨是简化开发、提高效率、易于扩展,其在对数据库的支持方面已经包括MySQL、MSSQL、Sqlite、PgSQL、 Oracle,以及PDO的支持。ThinkPHP有着丰富的文档和示例,框架的兼容性较强,但是其功能有限,因此更适合用于中小项目的开发。 但是漏洞也层出不穷,有一天发现自己的的小程序突然打不开了, What ??? 小小的网站也被墙了? 之前抱着一种心态 想着 这么小的网站谁想搞你 然后对网络安全方面视而不理,结果有一天 被啪啪打脸!! 当时很惊慌,未了解网络渗透方面的知识
PHP之多图上传,带图片检测
weixin_44936767的博客
01-07 356
前言: 要想检测图片是否含有木马脚本,首先从制作原理来分析这种木马程序。这种木马程序是十六进制编码写的,图片的十六进制代码中主要包含<% ( ) %>、<? ( ) ?> 、<script | /script>, 所以我们可以通过检测十六进制代码来检测木马脚本。 如何测试: 1.创建一个txt文件,名字改成1.jpg。 2.将<%eval request(“keio”)%> 存为1.php。 //前端代码 <html> <head>
【PHP多进制编程】实践php检测图片木马
兄弟连_战地日记
08-30 639
前不久,我申请加入了某开源组织,他们要我写一个功能用来检测图片是否木马脚本。   其实一开始我什么也不知道,只是后来在网上查了一些资料,找到的全是有制作图片木马的教程,并没有找到检测的程序。   经过几番思索之后,决定从制作原理来分析这种木马程序。这种木马程序是十六进制编码写的,我灵机一动,写了以下这个上传类。最终通过了组织测验。。。呵呵   现在把它拿出来给大家分享,有什么不好的地方,
php上传gif木马如何执行,php – 阻止人们通过注射上传GIF的方法?
weixin_36447179的博客
03-13 752
我有一个PHP网站,人们可以填写帮助门票。它允许他们上传他们的票据截图。我允许gif,psd,bmp,jpg,png,tif上传。收到上传后,PHP脚本将忽略文件扩展名。它仅使用MIME信息识别文件类型,这些文件类型始终存储在文件的前12个字节中。有人上传了几个GIF,当用浏览器查看浏览器时,浏览器表示无效,我的病毒扫描器提醒我,这是一个注入(或类似的东西)。请参阅下面的包含这些GIF的zip文件...
php一句话图片木马过滤_php一句话木马图片木马的运行方法
weixin_31485835的博客
03-08 2477
标准的写法,直接通过eval执行php代码,如下:@eval($_POST['code']);动态执行assert生成一个木马文件(隐藏性最好的一种)如下:@$_GET['a']($_GET['code']);使用方法:从url中传入下面参数执行后会在当前目录生成一个c.php的文件.如下:/index.php?a=assert&code=${fputs%28fopen%28base64...
WordPress安全方案
m0_63641320的博客
03-24 335
通过ACL策略解决wp安全问题,无需升级程序。
php一句话图片木马过滤_php一句话图片木马怎么解析
weixin_29495679的博客
03-08 428
一句话木马解析首先,学习渗透时,木马大概也就三种:大马、小马、一句话。常见的一句话:这个应该是最常见的了...看一下他的组成.首先是一个eval函数,其次是post提交一个参数为x的值.首先我们看看eval函数是干什么的。官方说明:eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分号结尾。如果没有在代码字符串中调用 return 语句,则返回 NUL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

懒惰的胖猪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值