GIF/JPEG/HTML, или как издеваются над браузерами |
Здравствуйте, гость ( Вход | Регистрация )
GIF/JPEG/HTML, или как издеваются над браузерами |
08 Aug 2016, 06:58
(Сообщение отредактировал t800 - 08 Aug 2016, 16:33)
Сообщение
#21
|
|
Разработчик Сообщений: 534 Спасибо сказали: 221 раз |
Этот файл отвечает требованиям к формату PNG, поэтому он остается файлом формата PNG. То, что при этом он отвечает и требованиям к какому-то иному формату, этого не отменяет. Расширения и маймтайпы при этом лишь подсказки (для файлменеджеров/браузеров соответственно), да. А если файл отвечает требованиям HTML и PNG то какой это файл? Вот сделал работающий пример http://wiki.kvkozyrev.org/fheroes/sploit/test.png И вот еще http://wiki.kvkozyrev.org/fheroes/sploit/test.html Браузер думает что это страница, но он ошибается потому что это никакая не страница а тот же самый PNG Поэтому я думаю надо смотреть что внутри, потому что браузер легко обмануть. ВОТ. -------------------- |
|
|
08 Aug 2016, 08:46
(Сообщение отредактировал Эроласт - 08 Aug 2016, 08:52)
Сообщение
#22
|
|
Зануда Сообщений: 2 236 Спасибо сказали: 2894 раза |
Цитата А если файл отвечает требованиям HTML и PNG то какой это файл А вот это уже тебе решать. Цитата Браузер думает что это страница Ничего он не думает. Браузер распознает так, как ему указали. В данном случае ему был указан Content-Type html, и он распарсил документ, как страницу. Признайся, ты производил какую-то конфигурацию на стороне сервера?) Цитата $ curl --head http://wiki.kvkozyrev.org/fheroes/sploit/test.png HTTP/1.1 200 OK Date: Mon, 08 Aug 2016 05:19:21 GMT Server: Apache/2.2.22 (Ubuntu) Last-Modified: Mon, 08 Jun 2015 06:03:25 GMT ETag: "f5c9b-51030-517fb665aa540" Accept-Ranges: bytes Content-Length: 331824 Content-Type: text/html http://bibrick.net/test.png - это твое же изображение (не веришь - сравни размер в байтах), но никакого сообщения оно не выводит. Как думаешь, почему? |
|
|
08 Aug 2016, 09:01
(Сообщение отредактировал feanor - 08 Aug 2016, 09:02)
Сообщение
#23
|
|
laughed as one fey Сообщений: 12 166 Спасибо сказали: 20585 раз |
Цитата А если файл отвечает требованиям HTML и PNG то какой это файл? и HTML, и PNG, очевидно же
|
|
|
08 Aug 2016, 09:06
(Сообщение отредактировал Эроласт - 08 Aug 2016, 09:06)
Сообщение
#24
|
|
Зануда Сообщений: 2 236 Спасибо сказали: 2894 раза |
И это, кстати, нифига не эксплойт. Прав у него не больше, чем у любой другой страницы, алерт - не уязвимость.
Просто забавная стеганография. |
|
|
08 Aug 2016, 09:13
Сообщение
#25
|
|
Разработчик Сообщений: 534 Спасибо сказали: 221 раз |
Цитата А если файл отвечает требованиям HTML и PNG то какой это файл А вот это уже тебе решать. Цитата Браузер думает что это страница Ничего он не думает. Браузер распознает так, как ему указали. В данном случае ему был указан Content-Type html, и он распарсил документ, как страницу. Признайся, ты производил какую-то конфигурацию на стороне сервера?) Цитата $ curl --head http://wiki.kvkozyrev.org/fheroes/sploit/test.png HTTP/1.1 200 OK Date: Mon, 08 Aug 2016 05:19:21 GMT Server: Apache/2.2.22 (Ubuntu) Last-Modified: Mon, 08 Jun 2015 06:03:25 GMT ETag: "f5c9b-51030-517fb665aa540" Accept-Ranges: bytes Content-Length: 331824 Content-Type: text/html http://bibrick.net/test.png - это твое же изображение (не веришь - сравни размер в байтах), но никакого сообщения оно не выводит. Как думаешь, почему? Потому что чтобы выводило, надо в каталог положить еще один файлик Называется он .htaccess а в нем написать такие команды. Вот! <FilesMatch "\.png$"> ForceType text/html SetHandler text/html </FilesMatch> -------------------- |
|
|
08 Aug 2016, 09:13
Сообщение
#26
|
|
😸🧡✊✌️ Сообщений: 16 027 Спасибо сказали: 2671 раз |
Теперь этот котёнок просто обязан стать частью лайнапа Дервиша.
-------------------- |
|
|
08 Aug 2016, 09:23
Сообщение
#27
|
|
Nevada-kun Сообщений: 1 978 Спасибо сказали: 842 раза |
Ну да, это примерно как к mp3 можно прикрепить картинку - и проводник Windows будет в эскизах страниц её отрисовывать. Но от этого файл не перестаёт быть музыкой. но если представить графически звуовые колебания и сохранить в другом формате, то будет таки картинка. -------------------- |
|
|
08 Aug 2016, 09:31
(Сообщение отредактировал Эроласт - 08 Aug 2016, 09:31)
Сообщение
#28
|
|
Зануда Сообщений: 2 236 Спасибо сказали: 2894 раза |
Цитата Потому что чтобы выводило, надо в каталог положить еще один файлик wink.gif Называется он .htaccess а в нем написать такие команды. Вот! Лол, а если у меня не апаче, а, например, nginx?) Тоже .htaccess вставлять?) Но, в общем-то, да, я тебе об этом и говорил. Цитата <FilesMatch "\.png$"> ForceType text/html SetHandler text/html </FilesMatch> Ты вроде как пытаешься программировать, но почему-то бездумно вставляешь код, и даже не пытаешься разобраться, что это такое и почему из-за него все заработало. По крайней мере, так выглядит со стороны. С помощью этих директив ты приказал браузеру обрабатывать документ как html. Браузер не ошибается, он послушно исполняет твою команду. Замени text/html на image/png, и браузер выведет документ как изображение. Замени text/html на image/jpeg, и браузер вообще ничего не выведет, потому что bad encoding. Все просто. |
|
|
08 Aug 2016, 09:53
(Сообщение отредактировал t800 - 08 Aug 2016, 09:54)
Сообщение
#29
|
|
Разработчик Сообщений: 534 Спасибо сказали: 221 раз |
И это, кстати, нифига не эксплойт. Прав у него не больше, чем у любой другой страницы, алерт - не уязвимость. Просто забавная стеганография. Ну индус который Самуил Шах говорит, что в картинку можно запихать и другие команды который будут делать что нибудь еще. Например запускать калькулятор и антивирусы их не заметят потому, что не проверяет картинок, а это картинка действительно безвредная, зачем бы я стал вредную выкладывать Цитата Потому что чтобы выводило, надо в каталог положить еще один файлик wink.gif Называется он .htaccess а в нем написать такие команды. Вот! Лол, а если у меня не апаче, а, например, nginx?) Тоже .htaccess вставлять?) Но, в общем-то, да, я тебе об этом и говорил. Цитата <FilesMatch "\.png$"> ForceType text/html SetHandler text/html </FilesMatch> Ты вроде как пытаешься программировать, но почему-то бездумно вставляешь код, и даже не пытаешься разобраться, что это такое и почему из-за него все заработало. По крайней мере, так выглядит со стороны. С помощью этих директив ты приказал браузеру обрабатывать документ как html. Браузер не ошибается, он послушно исполняет твою команду. Замени text/html на image/png, и браузер выведет документ как изображение. Замени text/html на image/jpeg, и браузер вообще ничего не выведет, потому что bad encoding. Все просто. Ну я понял чтобы картинка заработала надо с ней файл .htaccess положить который обманет браузер. -------------------- |
|
|
08 Aug 2016, 10:06
(Сообщение отредактировал Эроласт - 08 Aug 2016, 10:07)
Сообщение
#30
|
|
Зануда Сообщений: 2 236 Спасибо сказали: 2894 раза |
Ну индус который Самуил Шах говорит, что в картинку можно запихать и другие команды который будут делать что нибудь еще. Например запускать калькулятор Где говорит? Я нашел это - http://conference.hitb.org/hitbsecconf2015...-with-pictures/ Цитата Stegosploit is the result of malicious exploit code hidden within pixels of the image carrying it. The image however, is a multi format container, which also contains the code required to decode the steganographically encoded pixels to execute the exploit. A single file can be rendered as a perfectly valid HTML file, executed as a perfectly valid Javascript file, and displayed as a perfectly valid image, all at the same time. Этот трюк позволяет исполнять JS, а не что угодно. Навредить здесь никак нельзя. Нет, конечно, чисто теоретически могут быть уязвимости уже на уровне JS, но следует помнить, что при публикации таковых их мгновенно закрывают. И стегосплойт тут совершенно не при чем, он нужен лишь для того, чтобы сокрыть код. Цитата надо с ней файл .htaccess положить Ну смотри, я положил - http://bibrick.net/.htaccess. И все равно никакого сообщения не выводится - http://bibrick.net/test.png. Цитата который обманет браузер Не обманет, а прикажет. Это не обман. Ты в курсе, как переводится force type, set handler? |
|
|
08 Aug 2016, 10:09
Сообщение
#31
|
|
😸🧡✊✌️ Сообщений: 16 027 Спасибо сказали: 2671 раз |
-------------------- |
|
|
08 Aug 2016, 10:18
Сообщение
#32
|
|
Разработчик Сообщений: 534 Спасибо сказали: 221 раз |
Ну надо его наверно перенести куда-нибудь нужен лишь для того, чтобы сокрыть код. Цитата надо с ней файл .htaccess положить Ну смотри, я положил - http://bibrick.net/.htaccess. И все равно никакого сообщения не выводится - http://bibrick.net/test.png. Наверное Вы как то не правильно положили. И странно что у вам сам файл .htaccess скачивается. У меня его не видно. Может в этом дело почему у вас сообщение не работает? -------------------- |
|
|
08 Aug 2016, 10:22
Сообщение
#33
|
|
Зануда Сообщений: 2 236 Спасибо сказали: 2894 раза |
|
|
|
08 Aug 2016, 10:34
(Сообщение отредактировал t800 - 08 Aug 2016, 10:37)
Сообщение
#34
|
|
Разработчик Сообщений: 534 Спасибо сказали: 221 раз |
Наверное Вы как то не правильно положили. И странно что у вам сам файл .htaccess скачивается. У меня его не видно. Может в этом дело почему у вас сообщение не работает? Дело в том, что у меня не apache, а nginx. Если бы ты заглянул в заголовки, ты бы это увидел. Значит надо както придумать какой файлик надо полжить рядом чтобы ваш сайт говорил браузеру что картинка это не картинка а html и тогда у вас тоже заработает. -------------------- |
|
|
08 Aug 2016, 10:53
(Сообщение отредактировал Эроласт - 08 Aug 2016, 10:57)
Сообщение
#35
|
|
Зануда Сообщений: 2 236 Спасибо сказали: 2894 раза |
Значит надо както придумать какой файлик надо полжить рядом чтобы ваш сайт говорил браузеру что картинка это не картинка а html и тогда у вас тоже заработает. Я-то прекрасно знаю, что надо сделать. Только это не "рядом файлик положить". Я хочу, чтобы ты понял. Нужно установить заголовок ContentType на значение text/html, я же объяснял. Как это сделать - дело десятое. В случае nginx это делается через конфигурационный файл. |
|
|
08 Aug 2016, 11:20
Сообщение
#36
|
|
Разработчик Сообщений: 534 Спасибо сказали: 221 раз |
Значит надо както придумать какой файлик надо полжить рядом чтобы ваш сайт говорил браузеру что картинка это не картинка а html и тогда у вас тоже заработает. Я-то прекрасно знаю, что надо сделать. Только это не "рядом файлик положить". Я хочу, чтобы ты понял. Нужно установить заголовок ContentType на значение text/html, я же объяснял. Как это сделать - дело десятое. В случае nginx это делается через конфигурационный файл. Про text/html я уже понял. Можно просто картинку в html переименовать. Тогда браузер тоже решил что это html. Просто думаю когда файликом оно удобней. Не надо ничего где то еще менять. -------------------- |
|
|
08 Aug 2016, 11:35
Сообщение
#37
|
|
😸🧡✊✌️ Сообщений: 16 027 Спасибо сказали: 2671 раз |
-------------------- |
|
|
08 Aug 2016, 20:19
(Сообщение отредактировал t800 - 08 Aug 2016, 20:22)
Сообщение
#38
|
|
Разработчик Сообщений: 534 Спасибо сказали: 221 раз |
Вот собрал скрипт чтобы подписывать изображения
stegosploit.zip ( 2.58 килобайт ) Кол-во скачиваний: 3 Запускать надо так Код python2 sign.py -i in.png -p sign.html -o out.png И тогда получатся вот такое изображение Которое нормально вставляется куда угодно Но если открыть его в полном размере http://wiki.kvkozyrev.org/fheroes/sploit/girkin17sign.png Для просмотроа или сохранения будет предупреждение с подписью. -------------------- |
|
|
08 Aug 2016, 20:29
Сообщение
#39
|
|
Зануда Сообщений: 2 236 Спасибо сказали: 2894 раза |
А нафига это нужно-то? Боишься, как бы графику не воровали?)
|
|
|
08 Aug 2016, 20:36
(Сообщение отредактировал t800 - 08 Aug 2016, 20:46)
Сообщение
#40
|
|
Разработчик Сообщений: 534 Спасибо сказали: 221 раз |
Боишься, как бы графику не воровали? Ну вот же Оrziе переживал, что его графику кто-нибудь без спросу будет с форума брать, и Feаnоr тоже, а вот теперь я для них скрипт собрал! Теперь никто их графику не возьмёт, а если возьмёт, то стыдно будет! Вот Гехард Стейн, например. Он все кампании из T-800 mod засунул в свою сборку и даже в авторах не написал, у кого взял. А теперь он следующую кампанию так без спросу просто взять и вставить уже не сможет, так как будет появлятся надпись с правильными credits. И ему будет стыдно! Вот! -------------------- |
|
|
Текстовая версия | Сейчас: 23 April 2024 - 23:55 |
Copyright by Алексей Крючков
Programming by Degtyarev Dmitry |