gpt4 book ai didi

php - 网站如何被 "maliciously encoded image that contained a PHP script hidden inside it"攻击?

转载 作者:IT王子 更新时间:2023-10-29 00:15:24 25 4
gpt4 key购买 nike

我的广告服务器在周末被黑了。

根据 this article,这似乎是一个普遍存在的问题.

里面有些东西让我思考...

Attackers used one attack to get login rights to his server, and then uploaded a maliciously encoded image that contained a PHP script hidden inside it, he said. By viewing the image, attackers forced the script to execute on the server

这怎么可能?它是否依赖于使用 GD 或类似工具打开的图像?他们会上传冒充图像的脚本,并以某种方式包含它吗?

最佳答案

可以像上传文件一样简单

GIF89a<?php
echo 'hi';

如果您的上传脚本通过 fileinfo 测试内容类型或 mime_content_type()GIF89a 以来,它被识别为“GIF 图像数据,版本 89a”是将文件识别为 gif 所需的唯一模式/魔数(Magic Number)。
并且 OpenX 上传脚本显然保留了建议的文件名,即可以将此“图像”保存为服务器上的 foo.php。现在,如果您通过 http://hostname/uploaddir/foo.php 请求该文件该脚本作为 php 脚本执行,因为网络服务器通常/经常仅通过文件扩展名来确定内容类型,例如通过

<FilesMatch "\.php$">
SetHandler application/x-httpd-php
</FilesMatch>

php 然后回显前导GIF89a并执行 <?php ...code...阻止。

关于php - 网站如何被 "maliciously encoded image that contained a PHP script hidden inside it"攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3597082/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com