事情的起因是这样的,昨天刷微博的时候看到这样一条
那么,照片到底是什么时候照的?在哪照的?什么时间?用的什么照的?
最重要的是,她的男票(这种人也配当男票系列)说谎了没?
检查照片的技术手段,也常常用在insecure upload里面,在照片里注入代码。作为一种网站的攻击手段,通过在照片(未必是照片,也可以是代码修改后缀)里加入奇怪的代码,然后获取一些奇怪的好处:)
Insecure upload是cyber security里的一项重要vulnerability,现在一般的技术手段是列一个白名单,但是我们cybersecurity大魔王教的做法是利用random name,这样无论你后缀是什么,也不怕你拦截修改之后再上传,用这个方法可以说是改的很彻底。
首先,先上一个神器 :exiftool/jhead,可以用command line下载
exiftool 和 jhead都有document,如果感兴趣可以自己翻一下,内容惊人!爆炸的那种:)
从网上抓一张照片
对比一下exiftool 和 jhead:
👈的截图并没有截完整,继续下翻:
以及设备名称和型号
:)
今天看你男朋友手机了吗?
附送一个已经inject code的彩蛋
是不是很漂亮?
一般来说,如果想黑insecure upload我比较喜欢先试double extension ,如果不行,再试exiftool。exiftool单个并不能产生很大的作用,配合proxy拦截之后改名.php,在web端就可以执行了(如果没有防护措施的话)。
算是抛砖引玉吧~主要是心疼妹子们,被骗了还想着安慰自己,技术总归是不会骗人的(这句话怎么听起来这么奇怪)
去lab啦~
祝好
andrea
敬上
网友评论