host_m Sep 8 2020 at 10:00

Картинка, которая одновременно является кодом на Javascript

6 min

62K

VDSina.ru corporate blogJavaScript*Programming*Website development*

Translation

+138

Comments 36

iit Sep 8 2020 at 10:52

Уже видел такое но внутри был php с shell payload.
А так помимо различных веселых атак на сервера и браузеры — можно скрытно передавать информацию в изображении, правда для этого есть и другие алгоритмы получше...

teecat Sep 8 2020 at 11:07

опередили. В статье описано достаточно продвинутое описание по маскировке передачи вредоносного кода

sleirsgoevy Sep 9 2020 at 00:52

PHP неинтересно. Там код — только то, что внутри <?php ?>, остальное тупо печатается. Можно не париться с закомменчиванием бинарного мусора, он все равно не выполнится.

tyomitch Sep 9 2020 at 08:08

PHP интересно, потому что при криво настроенном сервере позволяет залить на него шеллкод внутри картинки. А вот как раз во внедрении JS внутрь GIF нет никакого практического смысла.

Garrett Sep 16 2020 at 01:36

Если это микро-сервер на Node.js, даже если не смотрящий в интернет, это может быть использовано для локального выполнения кода через браузер если знать куда стучаться

xi-tauw Sep 8 2020 at 11:13

Помню несколько лет назад был ctf, где нужно было код на haskell в gif завернуть.

sT331h0rs3 Sep 8 2020 at 11:33

Вспоминается rarjpeg, который активно использовали на форумах.

yamifa_1234 Sep 8 2020 at 11:48

в свое время подобным образом удавалось обмануть ВКонтакте при загрузке музыки. если контакт ругался что авторских прав у меня нет то просто добавляешь в конце любой файл(в командной строке чтото типа copy file1.mp3 + file2.jpg) и сайт спокойно загружал и использовал как песню.

dimka11 Sep 8 2020 at 16:54

Сейчас у них другой алгоритм? Определение по размеру файла / хэшу неэффективно для медиа файлов, которые легко конвертируются.

tlv Sep 8 2020 at 19:01

Делают спектральный образ, сверяют с базой эталонов. Так сейчас любой матчинг аудио работает, тот же поиск неправомерно вставленной музыки на Ютубе, Шазам, все они.

PashaPushka Sep 8 2020 at 14:14

Отличная статья, теперь думаем над кейсом, где можно это применить

johnmorgan Sep 9 2020 at 12:47

согласен, статья очень познавательная, но как я понял это более продвинутое описание и наверное не просто будет найти ей применение

Serge3leo Sep 8 2020 at 14:18

"… Здесь мы снова можем вручную изменять один из двух символов, чтобы они не завершали комментарий. Однако поскольку теперь мы находимся в разделе закодированного изображения, то в результате получим повреждённое изображение..."

Как бы, не обязательно, можно же перекодировать таким образом, что бы никогда не получался бы "*/". Например, вставляя «Код очистки», при этом размерчик немного вырастет, но будет без артефактов и прочих повреждений.

PR200SD Sep 8 2020 at 14:26

Круто, сразу вспомнилось: Сценка Ньютон и Казанова: " Коллега вы делаете тоже самое, что и я, только мозги"....

kozar Sep 8 2020 at 15:48

А нельзя было JS код просто в конец файла дописать? Парсер GIF, по идее, должен игнорировать всё, что находится после указанного размера.

DistortNeo Sep 8 2020 at 16:07

А парсеру JS что делать? В конец же можно просто дописать RAR-архив. Получится RARGIFJS.

kozar Sep 8 2020 at 18:11

Так я не про заголовок, а про то, что js в поля комментариев написали.

tyomitch Sep 9 2020 at 08:12

Можно было бы при условии, что внутри GIF нет ни одного символа `, но для этого надо писать нестандартный GIF-енкодер, а на это автора уже не хватило.

UFO just landed and posted this here

tyomitch Sep 9 2020 at 08:05

Если у злоумышленника есть возможность запустить JS-код в файле .gif, то что мешает ему запустить тот же самый код в файле .js?

Dreamka Sep 8 2020 at 22:15

По моему скромному мнению кто-то открыл ящик пандорры

rowaxi Sep 9 2020 at 02:32

Картинка вреда не нанесёт — она здесь корректная (времена WMF exploit, надеюсь, прошли). А эксплуатирование её в качестве JS вредоносного скрипта просто чуть удивит того, кто анализирует.

serjikz Sep 9 2020 at 12:47

Осенью 2020 ещё ничего не происходило. Вот нате распишитесь))

morgot Sep 14 2020 at 19:08

Этому «ящику пандоры» сто лет, легального использования не припомню, обычно это делают для осуществления xss-атак.
xakep.ru/2014/04/02/easy-hack-april-2014/#toc06.

DmitryKoterov Sep 9 2020 at 06:59

В свое время делал утилиту для преобразования exe-файла в com-файл для MSDOS, который состоял полностью из ascii-символов (можно было вставить в письмо), но распаковывал себя и запускался. Теперь вот GIF, который на самом деле JS. Времена изменились...

zuek Sep 9 2020 at 16:57

А как быть с ограничением на 64кб? Вроде, .com пытается загрузиться целиком в один сегмент, и если не помещается, то "опа!", а ещё в конце этого сегмента размещает стэк и заполняет его последний байт точкой возврата при завершении...

morgot Sep 18 2020 at 00:04

64кб это очень много для ехе-файла ). Точнее, когда-то было так. Сейчас же, с современными фреймворками и прочими «инновациями» даже хелловорлд на Visual C весит 200кб.

UFO just landed and posted this here

morgot Sep 19 2020 at 12:41

Что поделать, за все надо платить. Впрочем, как я понимаю, вряд ли размер кого-то сейчас волнует. Даже малварь, уж на то специфический софт — и то пишут на go / rust. Иногда попадаются экземпляры по 3-5 метров, причем не за счет какой-то хитрой упаковки — а просто так собрали, без оптимизаций.

ollisso Sep 9 2020 at 11:59

про запуск:
А что если подгрузить картинку как картинку с правильными MIME типами, а дальше, в отдельном скрипте загруженном на той же странице: читаем файл в память, и потом запускаем его через eval.
Конечно, это уже не чистый запуск, но всё же хороший способ скрыть исходный скрипт относительно легко.