Jump to content
Новости и объявления.
  • Уважаемые гости. При посещении нашего сайта, просим вас ознакомиться с разделами форума, прежде чем оставлять ваши объявления и т.д. Рекомендуем посетить разделы: "Общение, Коммерческий раздел, Услуги Хакеров и статьи, Отзывы о сайте и пользователях, Черный список" и другие разделы нашего сайта. ***ВНИМАНИЕ*** При обращении за помощью, просим быть внимательными, на сайте есть, как проверенные специалисты, так и непроверенные. Если вы обратились к специалисту, который проверку НЕ проходил, рекомендуем воспользоваться услугой гарант сервиса. xakervip.com
  • Взлом
  • Взлом
  • Гарант-сервис
  • Реклама на форуме

Recommended Posts

Приветствую, хакеры! Когда-то стали известны способы размещения вредоносного кода в изображении.

Немногим позднее появилась атака Polyglot, когда вредоносный файл одновременно является изображением и JavaScript-кодом. 

В основном, это касалось файлов BMP, при этом 2 первых байта представляли 16-ричное представление символов ВМ в изображении ВМP. 

Далее,4 байта отвечают за размер, затем 4 нулевых байта и байты, отвечающие за смещение данных. 

При выполнении техники Polyglot, контролируется размер изображения, а 16-ричные символы представляются так, чтобы компьютерами интерпретировались иначе. 

Т.е., чтобы выполнялись как код. 

Соответственно, появился генератор полезной нагрузки Pixload, который создал Alexandr Savca (chinarulezzz). 

И который представляю Вашему вниманию. 

Pixload умеет сгенерировать нагрузку в файлах BMP, GIF, JPG и PNG. Работает он как с дефолтными файлами, которые прилагаются в его директории, так и может начинять небольшие произвольные файлы соответствующего формата. 

В отличии от других аналогичных техник, файлы не требуется конвертировать в иконки и т.п. 

Если кому потребуется начинка из shell-кода х86 как в старые добрые времена, то смотрим здесь и здесь

Другие полезные ссылки для информации Вы найдёте на странице автора 

Вся информация предоставлена исключительно в рамках ознакомления и изучения проблем информационной безопасности. 

Категорически запрещается применение рассматриваемого инструмента в незаконных целях. 

Установка:

# apt install libgd-perl libimage-exiftool-perl libstring-crc32-perl

# git clone https://github.com/chinarulezzz/pixload.git

# cd pixload

 

Использование:

Если работать с дефолтными данными и произвольный выходной файл отсутствует, то при следующем генерировании, такой файл перезапишется. 

Если имеется скачанный произвольный выходной файл, то указываем на выходе его название и нагрузка запишется в него. 

Для удобства поместите такой файл в директорию инструмента. 

1) Для файлов BMP # ./bmp.pl -output file.bmp

2) Для JPG 2 вида нагрузки, либо в параметр COMMENT, либо DQT table 

И именно для данного типа файлов существует лимитирование нагрузки в 64 байта и требование, чтобы файл был произвольным. 

./jpg.pl -place DQT -output file.jpg

./jpg.pl -place COM -output file.jpg 

3) Для PNG # ./png.pl -output file.png

4) Для GIF # ./gif.pl -output file.gif

Вот пример изображения 

После генерирования полезной нагрузки, размер в свойствах останется неизменным, но само изображение примет минимальный размер. 

Опасность такие файлы представляют для посетителей ресурсов, у которых, особенно присутствует XSS-уязвимость. Например, находятся вот таким способом уязвимые ресурсы по доркам. 

Наличие уязвимости позволяет даже себя любимого вывести на главную страницу. 

Загружаются файлы если это позволяется и выполняется атака через браузеры при взаимодействии с файлом. Мы конечно не станем ничего никуда грузить и заниматься вредительством. 

Защитой от подобной атаки служит по-прежнему контроль javascript в браузере за счёт дополнений. 

И при изучении файла hex-редактором, а лучше, анализатором пакетов, можно сразу увидеть, что с файлом что-то не так и виден в нём скрипт.

 

Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.

 

 

 

Link to comment
Share on other sites

  • Реклама на форуме

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...

Important Information

Guidelines
Terms of Use
We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.