セキュリティの知識: PHP ファイルのバックドアを非表示にする方法に関するヒント
最近、多くの友人が、私の 1 文のトロイの木馬を HTML や画像に隠すことができるかどうか私に尋ねてきました。実際、私がどうしても 1 文のトロイの木馬を PHP ファイルに挿入することは、すでにかなり隠されています。 HTML ファイルまたは図で、下のテスト レポートを読み続けてみましょう。
PHP は拡張子 php を持つファイルのみを解析するため、PHP ステートメントをイメージに挿入しただけでは実行されないことを知っておく必要があります。したがって、画像に隠された PHP ステートメントを実行できる必要があります。 PHP の呼び出し関数 (include、require など) を使用するだけです。
数日前にトロイの木馬を写真に隠すという記事をまだ覚えています。つまり、PHP ファイル内で include("x.gif") などのステートメントを使用して、イメージに隠されたトロイの木馬ステートメントを呼び出します。 ASP のステートメントも同様です。非常に隠されているように見えますが、イメージを直接呼び出すと、PHP について少し知っている人であれば、怪しいものを見つけるのは難しくありません。 URL の GET メソッドではパラメータを渡すことが難しいため、トロイの木馬挿入のパフォーマンスを最大限に活用できません。
PHP では Include 関数が頻繁に使用されるため、多くのセキュリティ上の問題が発生します。たとえば、PHPWIND1.36 の脆弱性は、include の背後にある変数のフィルタリングが欠如していることが原因です。これから、同様のステートメントを構築して PHP ファイルに挿入できます。次に、トロイの木馬を画像または HTML ファイルに隠します。これは、より隠蔽性が高いと言えます。たとえば、PHPWIND フォーラムに次のステートメントを挿入します:
CODE:
一般管理者は閲覧できません。
include 関数を使用すると、txt、html、画像ファイルなどのさまざまな種類のファイルに PHP トロイの木馬を隠すことができます。 txt、html、画像ファイルの 3 種類のファイルはフォーラムや記事システムで最も一般的であるため、以下の順序でテストを実行します。
まず、PHP ファイル test.php を作成します。 ファイルの内容は次のとおりです。
CODE: $test=$_GET['test'];
@include 'test/' .$テスト
? >
Txt ファイルは一般に説明ファイルなので、ディレクトリの説明ファイルに 1 文のトロイの木馬を置くことができます。 TXT ファイル t.txt を作成するだけです。一文のトロイの木馬を t.txt ファイルに貼り付けます。次に、 hxxp://localhost/test/test.php?test=../t.txt にアクセスし、 t.txt の内容が表示されたら、lanker micro PHP バックドア クライアントのトロイの木馬アドレスを hxxp に追加します。 //localhost/test/test.php?test=../t.txt パスワードに cmd を追加するだけで、実行によって返される結果を確認できます。
HTML ファイルの場合、通常はテンプレート ファイルです。 HTML ファイルに挿入されたトロイの木馬を表示せずに呼び出して実行できるようにするには、次のように HTML に隠し属性を持つテキスト ボックスを追加します。 その後、上記と同じ方法を使用します。実行によって返される結果は、通常、ソース ファイルを表示することで確認できます。 たとえば、このプログラムのディレクトリを表示する機能を使用します。 C:Uniserver2_7swwwtest としてディレクトリを取得できるので、ソース ファイルの内容を表示します。
次に、画像ファイルについて話しましょう。最も有害な手口は、画像の中にトロイの木馬を隠すことです。画像を直接編集して画像の最後に挿入できます
テスト後、通常は画像には影響しません。次に、同じ方法でクライアントのトロイの木馬アドレスを追加します
PHP 環境変数をチェックすると、返される結果は元のイメージです。
ここでの結果と私たちが想像したものには多少の違いがあるかもしれません。実際、コマンドは実行されましたが、返された結果は表示されません。これは実際の GIF ファイルであるため、返された結果は表示されません。実際にコマンドが実行されたかどうかを証明するために、upload fileコマンドを実行します。予想どおり、ファイルはサーバーに正常にアップロードされました。このような偽造の利点は、それがよく隠蔽されることです。言うまでもなく、欠点は応答がないことです。返された結果を確認したい場合は、メモ帳を取り出して偽の画像ファイルを作成します。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
1663
14
1420
52
1315
25
1266
29
1239
24
HTML、CSS、およびJavaScriptの理解:初心者向けガイド
Apr 12, 2025 am 12:02 AM
webdevelopmentReliesOnhtml、css、andjavascript:1)htmlStructuresContent、2)cssStylesit、および3)Javascriptaddsinteractivity、形成、
PHPとPython:2つの一般的なプログラミング言語を比較します
Apr 14, 2025 am 12:13 AM
PHPとPythonにはそれぞれ独自の利点があり、プロジェクトの要件に従って選択します。 1.PHPは、特にWebサイトの迅速な開発とメンテナンスに適しています。 2。Pythonは、データサイエンス、機械学習、人工知能に適しており、簡潔な構文を備えており、初心者に適しています。
アクション中のPHP:実際の例とアプリケーション
Apr 14, 2025 am 12:19 AM
PHPは、電子商取引、コンテンツ管理システム、API開発で広く使用されています。 1)eコマース:ショッピングカート機能と支払い処理に使用。 2)コンテンツ管理システム:動的コンテンツの生成とユーザー管理に使用されます。 3)API開発:RESTFUL API開発とAPIセキュリティに使用されます。パフォーマンスの最適化とベストプラクティスを通じて、PHPアプリケーションの効率と保守性が向上します。
PHP:Web開発の重要な言語
Apr 13, 2025 am 12:08 AM
PHPは、サーバー側で広く使用されているスクリプト言語で、特にWeb開発に適しています。 1.PHPは、HTMLを埋め込み、HTTP要求と応答を処理し、さまざまなデータベースをサポートできます。 2.PHPは、ダイナミックWebコンテンツ、プロセスフォームデータ、アクセスデータベースなどを生成するために使用され、強力なコミュニティサポートとオープンソースリソースを備えています。 3。PHPは解釈された言語であり、実行プロセスには語彙分析、文法分析、編集、実行が含まれます。 4.PHPは、ユーザー登録システムなどの高度なアプリケーションについてMySQLと組み合わせることができます。 5。PHPをデバッグするときは、error_reporting()やvar_dump()などの関数を使用できます。 6. PHPコードを最適化して、キャッシュメカニズムを使用し、データベースクエリを最適化し、組み込み関数を使用します。 7
HTMLにおけるReactの役割:ユーザーエクスペリエンスの向上
Apr 09, 2025 am 12:11 AM
ReactはJSXとHTMLを組み合わせてユーザーエクスペリエンスを向上させます。 1)JSXはHTMLを埋め込み、開発をより直感的にします。 2)仮想DOMメカニズムは、パフォーマンスを最適化し、DOM操作を削減します。 3)保守性を向上させるコンポーネントベースの管理UI。 4)国家管理とイベント処理は、インタラクティブ性を高めます。
PHP対Python:違いを理解します
Apr 11, 2025 am 12:15 AM
PHP and Python each have their own advantages, and the choice should be based on project requirements. 1.PHPは、シンプルな構文と高い実行効率を備えたWeb開発に適しています。 2。Pythonは、簡潔な構文とリッチライブラリを備えたデータサイエンスと機械学習に適しています。
PHPの永続的な関連性:それはまだ生きていますか?
Apr 14, 2025 am 12:12 AM
PHPは依然として動的であり、現代のプログラミングの分野で重要な位置を占めています。 1)PHPのシンプルさと強力なコミュニティサポートにより、Web開発で広く使用されています。 2)その柔軟性と安定性により、Webフォーム、データベース操作、ファイル処理の処理において顕著になります。 3)PHPは、初心者や経験豊富な開発者に適した、常に進化し、最適化しています。
PHP対その他の言語:比較
Apr 13, 2025 am 12:19 AM
PHPは、特に迅速な開発や動的なコンテンツの処理に適していますが、データサイエンスとエンタープライズレベルのアプリケーションには良くありません。 Pythonと比較して、PHPはWeb開発においてより多くの利点がありますが、データサイエンスの分野ではPythonほど良くありません。 Javaと比較して、PHPはエンタープライズレベルのアプリケーションでより悪化しますが、Web開発により柔軟性があります。 JavaScriptと比較して、PHPはバックエンド開発により簡潔ですが、フロントエンド開発のJavaScriptほど良くありません。
