In letzter Zeit haben mich viele Freunde gefragt, ob ich meinen Ein-Satz-Trojaner in HTML-Dateien oder Bildern verstecken kann. Tatsächlich ist das Einfügen eines Ein-Satz-Trojaners in PHP-Dateien bereits sehr versteckt. Lesen wir diesen Testbericht weiter. Sie müssen wissen, dass, wenn Sie die PHP-Anweisung einfach in das Bild einfügen, diese ohnehin nicht ausgeführt wird, da PHP nur Dateien mit der Erweiterung php analysiert. Daher ist es notwendig, die im Bild versteckten PHP-Anweisungen ausführen zu können. Wir verwenden lediglich die aufrufenden Funktionen in PHP: include, require usw.
Wir erinnern uns noch an den Artikel über das Verstecken von Trojanern in Bildern vor ein paar Tagen. Das heißt, verwenden Sie Anweisungen wie include("x.gif") in der PHP-Datei, um die im Bild versteckten Trojaner-Anweisungen aufzurufen. Die Aussagen in ASP sind ähnlich. Es scheint sehr versteckt zu sein, aber wenn Sie das Bild direkt aufrufen, wird es für jemanden, der sich ein wenig mit PHP auskennt, nicht schwer sein, etwas Verdächtiges zu finden. Da es schwierig ist, Parameter mit der GET-Methode in der URL zu übergeben, kann die Leistung der Trojaner-Einfügung nicht voll ausgenutzt werden.
Die Include-Funktion wird in PHP häufig verwendet und verursacht daher zu viele Sicherheitsprobleme. Die Schwachstelle von PHPWIND1.36 wird beispielsweise durch die fehlende Filterung von Variablen hinter include verursacht. Daraus können wir ähnliche Anweisungen konstruieren, die wir in PHP-Dateien einfügen. Dann verstecken Sie den Trojaner in einem Bild oder einer HTML-Datei, was sozusagen versteckter ist. Fügen Sie beispielsweise die folgende Anweisung in das PHPWIND-Forum ein: < ''?@include include/.$PHPWIND_ROOT;? >Allgemeine Administratoren können es nicht sehen.
Mit Hilfe der Include-Funktion können wir PHP-Trojaner in vielen Dateitypen wie TXT-, HTML- und Bilddateien verstecken. Da diese drei Dateitypen, TXT-, HTML- und Bilddateien, in Foren und Artikelsystemen am häufigsten vorkommen, führen wir die Tests in der folgenden Reihenfolge durch.
Erstellen Sie zunächst eine PHP-Datei test.php. Der Inhalt der Datei lautet:
$
test=$_GET['test'];
@include
'test/'.$test;
Ein-Satz-Trojaner Es ist in Ordnung, zur Beschreibungsdatei des Verzeichnisses zu wechseln. Erstellen Sie einfach eine TXT-Datei t.txt. Wir fügen den Ein-Satz-Trojaner in die t.txt-Datei ein. Besuchen Sie dann http://localhost/test/test.php?test=../t.txt. Wenn Sie den Inhalt von t.txt sehen, ist dies in Ordnung. Fügen Sie dann die Adresse des Lanker-Mini-PHP-Backdoor-Trojaners zu http hinzu Fügen Sie cmd zum Passwort von ://localhost/test/test.php?test=../t.txt hinzu, und Sie können die von der Ausführung zurückgegebenen Ergebnisse sehen.
Bei HTML-Dateien handelt es sich im Allgemeinen um Vorlagendateien. Damit das in die HTML-Datei eingefügte Trojanische Pferd aufgerufen und ausgeführt werden kann, ohne dass es angezeigt wird, können wir im HTML ein Textfeld mit versteckten Attributen hinzufügen, wie zum Beispiel: Verwenden Sie dann die gleiche Methode wie oben. Die Rückgabeergebnisse der Ausführung können im Allgemeinen durch Anzeigen der Quelldatei eingesehen werden. Nutzen Sie beispielsweise die Funktion zum Anzeigen des Verzeichnisses dieses Programms. Wenn ich den Inhalt der Quelldatei ansehe, kann ich das Verzeichnis als C:Uniserver2_7swwwtest abrufen.
Lassen Sie uns nun über Bilddateien sprechen. Der giftigste Trick besteht darin, das Trojanische Pferd im Bild zu verstecken. Wir können ein Bild direkt bearbeiten und am Ende des Bildes einfügen.
Nach dem Test hat dies im Allgemeinen keine Auswirkungen auf das Bild. Fügen Sie dann auf die gleiche Weise die Client-Trojaner-Adresse hinzu
und überprüfen Sie die PHP-Umgebungsvariablen. Das zurückgegebene Ergebnis ist das Originalbild.
Möglicherweise gibt es einige Unterschiede zwischen den Ergebnissen und unseren Vorstellungen. Tatsächlich wurde der Befehl ausgeführt, die zurückgegebenen Ergebnisse sind jedoch nicht sichtbar Überprüfen Sie, ob es tatsächlich ausgeführt wird. Nach Erhalt des Befehls führen wir den Befehl zum Hochladen der Datei aus. Wie erwartet wurde die Datei erfolgreich auf den Server hochgeladen. Der Vorteil einer solchen Fälschung besteht darin, dass sie gut versteckt ist. Der Nachteil besteht natürlich darin, dass keine Reaktion erfolgt. Wenn Sie die zurückgegebenen Ergebnisse sehen möchten, nehmen Sie Notepad heraus und erstellen Sie eine gefälschte Bilddatei.
An diesem Punkt ist der Test grundsätzlich abgeschlossen. Wie Sie die PHP-Hintertür verbergen, hängt von Ihrer eigenen Entscheidung ab. Das Schreiben ist eilig. Wenn etwas nicht stimmt, weisen Sie es bitte darauf hin!