Опасные изображения. Создаем вредоносный код в картинке

S

SSHMAN

Original poster
1582473564783.png

Когда-то стали известны способы размещения вредоносного кода в изображении. Немногим позднее появилась атака Polyglot,когда вредоносный файл одновременно является изображением и JavaScript-кодом. В основном,это касалось файлов BMP,при этом,2 первых байта представляли 16-ричное представление символов ВМ в изображении ВМP. Далее,4 байта отвечают за размер,затем 4 нулевых байта и байты,отвечающие за смещение данных. При выполнении техники Polyglot,контролируется размер изображения,а 16-ричные символы представляются так,чтобы компьютерами интерпретировались иначе. Т.е.,чтобы выполнялись как код.


Соответственно,появился генератор полезной нагрузки Pixload,который создал Alexandr Savca (chinarulezzz). И который представляю Вашему вниманию.


Pixload умеет сгенерировать нагрузку в файлах BMP,GIF,JPG и PNG. Работает он как с дефолтными файлами,которые прилагаются в его директории,так и может начинять небольшие произвольные файлы соответствующего формата.
В отличии от других аналогичных техник,файлы не требуется конвертировать в иконки и т.п.

Если кому потребуется начинка из shell-кода х86 как в старые добрые времена,то смотрим

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

и

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Другие полезные ссылки для информации Вы найдёте на странице

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.





Вся информация предоставлена исключительно в рамках ознакомления и изучения проблем информационной безопасности.

Категорически запрещается применение рассматриваемого инструмента в незаконных целях.

Установка:

# apt install libgd-perl libimage-exiftool-perl libstring-crc32-perl
# git clone

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


# cd pixload

Использование:

Если работать с дефолтными данными и произвольный выходной файл отсутствует,то при следующем генерировании,такой файл перезапишется.

Если имеется скачанный произвольный выходной файл,то указываем на выходе его название,и нагрузка запишется в него.

Для удобства поместите такой файл в директорию инструмента.

1) Для файлов BMP # ./bmp.pl -output file.bmp

2) Для JPG 2 вида нагрузки,либо в параметр COMMENT,либо DQT table

И именно для данного типа файлов существует лимитирование нагрузки в 64 байта и требование,чтобы файл был произвольным.

./jpg.pl -place DQT -output file.jpg
./jpg.pl -place COM -output file.jpg

3) Для PNG # ./png.pl -output file.png

4) Для GIF # ./gif.pl -output file.gif

После генерирования полезной нагрузки,размер в свойствах останется неизменным,но само изображение примет минимальный размер.



Опасность такие файлы представляют для посетителей ресурсов,у которых,особенно присутствует XSS-уязвимость. Например, находятся вот таким способом уязвимые ресурсы по доркам.

Наличие уязвимости позволяет даже себя любимого вывести на главную страницу.

Загружаются файлы если это позволяется и выполняется атака через браузеры при взаимодействии с файлом. Мы конечно не станем ничего никуда грузить и заниматься вредительством.

Защитой от подобной атаки служит по-прежнему контроль javascript в браузере за счёт дополнений.

И при изучении файла hex-редактором ,а лучше,анализатором пакетов,можно сразу увидеть,что с файлом что-то не так и виден в нём скрипт



25edbf77698697168ddf8.png
 
M

[Mops]

Original poster
Читал о таком способе, нужно будет протестировать как нибудь
 
  • Like
Реакции: CMDfromBAT
E

EgorData

Original poster
Отличная статья (y)
Статья-то действительно хорошая, но почему нигде не написано, что это копипаст, полностью от начала и до конца. Она ещё в конце того года появилась на

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

ресурсе. Ай. ай, ай...Или здесь так можно? А если можно, то у вас работы непочатый край, ведь только на том ресурсе очень много таких полезных статей.
 
  • Like
Реакции: AAnimeshnikk и CMDfromBAT
2

2we1rd

Original poster
Не против копиписта, но только со своим примером
 
F

Freemman

Original poster
Господа ! У нас открытый код, в соответствии с этой аргументацией "копипаст" легко и уверенно.
 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Мошенники генерируют изображения фальшивых банковских карт через чат-боты в Telegram Новости в сети 0
A Подмена изображения Уязвимости и взлом 5
R Vk image sender-позволяет отправлять изображения с помощью сообщений вконтакте Другое 0
Support81 Важно!!! Создаем свой VPN с защищенным от блокировок протоколом AmneziaWG, или WireGuard на максималках Анонимность и приватность 3
Q Интересно Создаем Telegram-бота по продаже виртуальных номеров. Обучения, схемы, мануалы 0
Denik Создаем клон сайта Полезные статьи 4
L Создаем рекламный вирус и зарабатываем Полезные статьи 4
E Интересно Создаем хороший словарь для BruteForce Бруты/Парсеры/Чекеры 6
1 Создаем трояна для Андроид Spam/DDOS/Malware 2
P Pass the Hash через Open XML. Создаем документ с сюрпризом для перехвата хеша NTLMv2-SSP и брутим пароль Полезные статьи 0
S Создаем паспорт и снилс сами Полезные статьи 0
АнАлЬнАя ЧуПаКаБрА Создаем безопасную переписку на телефоне Анонимность и приватность 6
Admin DeadCrush.Создаем ботнет из сайтов. Уязвимости и взлом 1
Admin DrDos. Создаем ботнет никого не взломав Полезные статьи 0
C Создаем игру Need for Speed на Unity Другие ЯП 0
Z Создаем ссылку на запрос токена СИ/Фишинг/Мошенничество 13
C Создаем Open VPN Server.Анонимно арендуем VPS/ Анонимность и приватность 9
I Создаем супер мега крутую машину для зомбирования компьютеров, телефонов (Часть 1) Полезные статьи 18
M Создаем с нуля сканы документов профессионального уровня Полезные статьи 0
Admin Создаем MiTM ловушку, Banana Pi R1 (BPI-R1) Уязвимости и взлом 1

Название темы