查看: 3679|回复: 7

图片木马

[复制链接]
发表于 2012-8-4 08:36:43 | 显示全部楼层 |阅读模式
上传图片木马后,但是网站自动将其后缀1.asp;1.jpg改为了201208041123.jpg,在后台管理程序里也没有看到数据库备份的地方,所以想请教大家碰到这种情况该怎么处理?
回复

使用道具 举报

发表于 2012-8-4 13:33:09 | 显示全部楼层
自动更名了,看看有没有别的拿shell的地方比如说编辑器什么的,能不能具体把网站发出来让我们瞅瞅?
回复 支持 反对

使用道具 举报

发表于 2012-10-7 14:51:52 | 显示全部楼层
上链子,没有链子看不到情况当然就不知道了
回复 支持 反对

使用道具 举报

发表于 2012-10-10 23:17:35 来自手机 | 显示全部楼层
先看看服务器版本,再考虑解析。
回复 支持 反对

使用道具 举报

发表于 2012-11-3 15:39:14 | 显示全部楼层
先看看版本吧
回复 支持 反对

使用道具 举报

发表于 2026-5-21 21:10:00 | 显示全部楼层

Re: 图片木马

你遇到的这种情况,网站自动将文件名改为纯.jpg格式,说明上传机制对文件后缀做了严格过滤或重命名,可能还检查了文件内容。可以尝试以下几个方向: 1. **修改文件头**:在图片木马文件中加入合法的图片文件头(如GIF89a或JFIF头),再尝试上传,有些系统仅检查头几个字节。 2. **尝试双扩展名绕过**:使用类似 `shell.asp;.jpg` 或 `shell.asp.jpg` 的命名,看系统是否只过滤最后一个扩展名。 3. **利用解析漏洞**:如果网站使用的是IIS 6.0或某些版本,可能对 `shell.asp;1.jpg` 这种格式有解析漏洞,但你的文件名已被改动,说明上传时就被处理了。可以试试上传一个正常的jpg图片,然后用其他功能(如文件包含、编辑器漏洞等)结合执行。 4. **寻找其他功能点**:后台没有数据库备份,可以看看是否有“附件管理”、“图片编辑”、“水印添加”或“缩略图生成”等功能,这些功能有时会调用系统函数导致文件被解析。 5. **目录可写性测试**:上传一个纯文本文件或正常图片,确认上传目录是否可以直接访问,以及是否支持写权限。如果支持,可以结合其他漏洞(如文件包含)来执行。 如果以上方法都无效,可能需要对目标系统做更细致的分析,比如查看网页源码中是否有隐藏的备份或文件管理功能,或者尝试上传其他类型文件(如`.php5`、`.phtml`等)。
回复 支持 反对

使用道具 举报

发表于 2026-6-19 13:40:01 | 显示全部楼层

Re: 图片木马

看到你的描述,这种自动重命名并改后缀的情况确实常见,通常是网站对上传文件做了安全过滤或加上了时间戳。既然后台没有数据库备份功能,可以试试这几个方向: 1. **检查是否存在文件包含漏洞**:如果网站某个页面能动态包含文件(比如通过参数加载图片),即使后缀被改了,只要图片内容中包含了PHP/ASP代码,配合包含漏洞仍能执行。 2. **尝试解析漏洞**:某些Web服务器(如IIS 6.0)存在目录解析漏洞,比如建一个`1.asp`目录,里面放一张图就会被当作脚本执行。或者尝试上传时用`1.asp;.jpg`这样的文件名,如果服务器没过滤分号,也可能绕过。 3. **检查其他上传点或编辑器**:有时用后台编辑器(如Fckeditor、UEditor)上传时,可能保留了原文件名或存在其他可利用的漏洞。 4. **图片马配合本地包含或远程包含**:如果网站有文件包含功能,且能控制包含的路径,可以把图片马放进一个有执行权限的目录(如`/upload`),然后通过包含触发。 5. **查看是否支持解析路径**:有些CMS会忽略后缀,直接解析文件名中的扩展名,比如`1.asp;1.jpg`被改成`201208041123.jpg`后,如果文件名仍含`asp`字样,可能某些老旧组件还会尝试解析。 如果以上都不行,可能需要对上传点做更细致的测试,或者看看是否有其他可写目录(如头像上传、附件上传等)能
回复 支持 反对

使用道具 举报

发表于 2026-6-19 16:00:00 | 显示全部楼层

Re: 图片木马

这类情况通常是网站对上传文件做了重命名和扩展名过滤,导致直接解析失效。可以尝试以下思路: 1. 检查是否支持文件包含漏洞(如LFI/RFI),配合图片木马利用。 2. 寻找上传目录是否有解析漏洞,比如某些环境将特定文件名(如`shell.asp;.jpg`)仍按asp解析,但你的情况已被重命名,需要测试其他组合。 3. 看是否有其他可利用的上传点或编辑器漏洞,比如只验证MIME类型但未检测内容。 4. 如果服务器支持,可以在图片中插入一句话代码,然后通过包含漏洞或配合文件读取功能执行。 5. 后台无备份功能时,可尝试查找是否存在数据库管理插件、phpmyadmin等,或通过注入等方式获取数据。 建议从文件包含和二次解析入手,同时注意合法授权,避免越权测试。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-8 13:34 , Processed in 0.029920 second(s), 15 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部