圖片馬:就是在圖片中隱藏一句話木馬。利用.htaccess等解析圖片為php或者asp文件。達到執(zhí)行圖片內(nèi)代碼目的
制作方法:
- 文本方式打開,末尾粘貼一句話木馬
- cmd中 copy 1.jpg/b+2.php 3.jpg
- /b是二進制形式打開
- /a是ascii方式打開
- 看到有人說一定要把圖片放前面,木馬放后面才能成功,我親自試了這兩種制作方式(另一種圖片放后面),均能成功連接,但是后者的一句話木馬在文件開頭,不推薦
- 16進制打開圖片在末尾添加一句話木馬。
- ps
注意以下幾點:
- 單純的圖片馬并不能直接和蟻劍連接,
- 因為該文件依然是以image格式進行解析,
- 只有利用文件包含漏洞,才能成功利用該木馬
- 所謂文件包含漏洞,是指在代碼中引入其他文件作為php文件執(zhí)行時,未對文件進行嚴格過濾,導致用戶指定任意文件,都作為php文件解析執(zhí)行。
1.文本方式打開圖片直接粘貼一句話木馬
將一個圖片以文本格式打開(這里用的notepad++.以記事本方式打開修改也能連接成功,不過修改后圖片無法正常顯示了),
后面粘貼上一句話木馬
上傳圖片
連接蟻劍,嗯,很好,連接成功
2.cmd命令行執(zhí)行
在windows的cmd中執(zhí)行
可以看到末尾已經(jīng)有一句話木馬了
上傳之后連接試試,成功
3.用16進制編輯器打開,末尾添加
用winhex打開圖片,添加一句話木馬
上傳,連接成功
4.用Photoshop制作
先打開圖片
點擊文件->文件簡介
添加木馬
上傳,連接成功
原文鏈接:
https://www.cnblogs.com/Linkas/p/15101706.html
