楼主: z68436425
收起左侧

[病毒样本] 一张图片4个引擎报

[复制链接]
沧桑浪子
发表于 2021-3-9 11:44:17 | 显示全部楼层
huangsijun17 发表于 2021-3-9 11:41
jpg允许存在冗余数据,而php只会去找一个php文件头。jpg甚至可以在图片信息后面连上一个压缩包,而php也 ...

也就是说扩展名为jpg的时候,双击没危险对吗?
396805331
发表于 2021-3-9 11:52:38 | 显示全部楼层
记录微笑 发表于 2021-3-9 10:38
PHP必须要PHP解析器解析之后才能运行,web Server只负责解析报文后交给PHP处理,和http服务器无关。

...

_POST是预定义变量,就是用来处理HTTP POST参数的。

https://www.php.net/manual/en/reserved.variables.post.php

而污染点在_POST,请问在不处理HTTP相关事务的情况下。
如何从_POST变量获取参数造成威胁呢?
huangsijun17
发表于 2021-3-9 11:54:09 | 显示全部楼层
沧桑浪子 发表于 2021-3-9 11:44
也就是说扩展名为jpg的时候,双击没危险对吗?

一般情况下,jpg文件在Windows下会有危险只有几种情况:
1. 图片浏览器的漏洞。(罕见)
2. 将.jpg文件注册为了可执行文件。(没有几百年脑血栓做不出这事情)
3. 在已感染恶意程序时可能出现的其他情况。(理论可能)

此外,此外,此外,某些长得很像jpg的exe程序才是Windows上的“伪装图片木马”。
记录微笑
发表于 2021-3-9 12:41:16 | 显示全部楼层
本帖最后由 记录微笑 于 2021-3-9 12:55 编辑
396805331 发表于 2021-3-9 11:52
_POST是预定义变量,就是用来处理HTTP POST参数的。

https://www.php.net/manual/en/reserved.variabl ...

PHP的eval函数用来执行其他PHP代码,而$_POST用来接受post参数。请问这个和http服务器有什么关系?PHP不去解析它怎么造成威胁?

这个PHP文件本来就是上传到服务器可执行区域后被PHP解析,才能执行任意PHP代码造成危害,post只是传输参数用的方法,这又和web Server有什么关系?

396805331
发表于 2021-3-9 13:44:54 | 显示全部楼层
本帖最后由 396805331 于 2021-3-9 13:46 编辑
记录微笑 发表于 2021-3-9 12:41
PHP的eval函数用来执行其他PHP代码,而$_POST用来接受post参数。请问这个和http服务器有什么关系?PHP不 ...
而$_POST用来接受post参数。请问这个和http服务器有什么关系?
An associative array of variables passed to the current script via the HTTP POST method when using application/x-www-form-urlencoded or multipart/form-data as the HTTP Content-Type in the request.

如果不处理HTTP事务,没有POST参数,这个_POST数组应该空的或者填充特定值。
被污染的参数/变量是无法被执行的(或者说_POST数组被填充了,哪里来的恶意参数),恶意行为无法触发,请问这算是什么关系?


记录微笑
发表于 2021-3-9 13:51:22 | 显示全部楼层
本帖最后由 记录微笑 于 2021-3-9 13:57 编辑
396805331 发表于 2021-3-9 13:44
如果不处理HTTP事务,没有POST参数,这个_POST数组应该空的或者填充特定值。
被污染的参数/变量是无 ...

再和你说一遍,没有PHP无法执行,web server只负责解析报文。PHP官方文档很多地方翻译成中文就变味了。
恶意行为和http服务器完全没有关系,他就相当于你买刀的商店,只是一个载体,和恶意行为无关。
$_post只是一个数组罢了,如果用fastcgi的话,来源是fastcgi内容。后面的恶意代码执行也只是PHP解析出来的代码执行,这又和http服务器有什么关系。
fastcgi_pass将动态资源交给php-fpm后,php-fpm会将资源转给php脚本解析服务器的wrapper
wrapper收到php-fpm转过来的请求后,wrapper会生成一个新的线程调用php动态程序解析服务器
在配置fastcgi的时候会写
fastcgi_pass 127.0.0.1:9000;
表示nginx通过fastcgi_pass将用户请求的资源发给127.0.0.1:9000进行解析,这里的nginx和php脚本解析服务器是在同一台机器上,所以127.0.0.1:9000表示的就是本地的php脚本解析服务器。这又和http服务器有什么关系?
你要是不了解可以去学fastcgi看看。
396805331
发表于 2021-3-9 14:06:39 | 显示全部楼层
记录微笑 发表于 2021-3-9 13:51
再和你说一遍,没有PHP无法执行,web server只负责解析报文。PHP官方文档很多地方翻译成中文就变味了。
...
再和你说一遍,没有PHP无法执行,web server只负责解析报文。

我哪句说跟PHP没关系了,我前面讨论也是默认这个shell在php的环境下运行啊?不然我引用PHP的手册在干嘛呢?
我那句让你误解了,表达了“跟PHP没关系”的意思,麻烦请引用下?

我不理解的是:
这段shell,_POST参数必须存储的是恶意PHP代码才能执行。
服务器不处理HTTP事务,PHP恶意代码片段从哪里来的?


396805331
发表于 2021-3-9 14:12:32 | 显示全部楼层
记录微笑 发表于 2021-3-9 13:51
再和你说一遍,没有PHP无法执行,web server只负责解析报文。PHP官方文档很多地方翻译成中文就变味了。
...

ok 理解了,切分点不一样。
记录微笑
发表于 2021-3-9 14:14:10 | 显示全部楼层
396805331 发表于 2021-3-9 14:06
我哪句说跟PHP没关系了,我前面讨论也是默认这个shell在php的环境下运行啊?不然我引用PHP的手册在干嘛 ...

这么说吧,目前来说没有任何方法在你不登录服务器亲手复制的情况下让它执行恶意代码。

我看你的问题,你连这个数组是干嘛的,以及post方法是什么意义都没弄清楚,那为什么不去直接查这两个概念的意义?

这个文件的唯一产生恶意的方法就是通过这个PHP文件代码里面的eval代码执行用post方法上传的代码,和你所谓的怎么上传无关。

396805331
发表于 2021-3-9 14:17:28 | 显示全部楼层
记录微笑 发表于 2021-3-9 14:14
这么说吧,目前来说没有任何方法在你不登录服务器亲手复制的情况下让它执行恶意代码。

我看你的问题, ...
我看你的问题,你连这个数组是干嘛的,以及post方法是什么意义都没弄清楚,那为什么不去直接查这两个概念的意义?

请问POST 方法,除了指代HTTP POST方法还指代别的概念?

PHP 不直接解析HTTP协议就说没关系么?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 23:21 , Processed in 0.100730 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表