Картинка, которая одновременно является кодом на Javascript

[iit]

Уже видел такое но внутри был php с shell payload.
А так помимо различных веселых атак на сервера и браузеры — можно скрытно передавать информацию в изображении, правда для этого есть и другие алгоритмы получше...

[teecat]

опередили. В статье описано достаточно продвинутое описание по маскировке передачи вредоносного кода

[sleirsgoevy]

PHP неинтересно. Там код — только то, что внутри <?php ?>, остальное тупо печатается. Можно не париться с закомменчиванием бинарного мусора, он все равно не выполнится.

[tyomitch]

PHP интересно, потому что при криво настроенном сервере позволяет залить на него шеллкод внутри картинки. А вот как раз во внедрении JS внутрь GIF нет никакого практического смысла.

[Garrett]

Если это микро-сервер на Node.js, даже если не смотрящий в интернет, это может быть использовано для локального выполнения кода через браузер если знать куда стучаться

[xi-tauw]

Помню несколько лет назад был ctf, где нужно было код на haskell в gif завернуть.

[sT331h0rs3]

Вспоминается rarjpeg, который активно использовали на форумах.

[yamifa_1234]

в свое время подобным образом удавалось обмануть ВКонтакте при загрузке музыки. если контакт ругался что авторских прав у меня нет то просто добавляешь в конце любой файл(в командной строке чтото типа copy file1.mp3 + file2.jpg) и сайт спокойно загружал и использовал как песню.

[dimka11]

Сейчас у них другой алгоритм? Определение по размеру файла / хэшу неэффективно для медиа файлов, которые легко конвертируются.

[tlv]

Делают спектральный образ, сверяют с базой эталонов. Так сейчас любой матчинг аудио работает, тот же поиск неправомерно вставленной музыки на Ютубе, Шазам, все они.

[PashaPushka]

Отличная статья, теперь думаем над кейсом, где можно это применить

[johnmorgan]

согласен, статья очень познавательная, но как я понял это более продвинутое описание и наверное не просто будет найти ей применение

[Serge3leo]

"… Здесь мы снова можем вручную изменять один из двух символов, чтобы они не завершали комментарий. Однако поскольку теперь мы находимся в разделе закодированного изображения, то в результате получим повреждённое изображение..."

Как бы, не обязательно, можно же перекодировать таким образом, что бы никогда не получался бы "*/". Например, вставляя «Код очистки», при этом размерчик немного вырастет, но будет без артефактов и прочих повреждений.

[PR200SD]

Круто, сразу вспомнилось: Сценка Ньютон и Казанова: " Коллега вы делаете тоже самое, что и я, только мозги"....

[kozar]

А нельзя было JS код просто в конец файла дописать? Парсер GIF, по идее, должен игнорировать всё, что находится после указанного размера.

[DistortNeo]

А парсеру JS что делать? В конец же можно просто дописать RAR-архив. Получится RARGIFJS.

[kozar]

Так я не про заголовок, а про то, что js в поля комментариев написали.

[tyomitch]

Можно было бы при условии, что внутри GIF нет ни одного символа `, но для этого надо писать нестандартный GIF-енкодер, а на это автора уже не хватило.

[tyomitch]

Если у злоумышленника есть возможность запустить JS-код в файле .gif, то что мешает ему запустить тот же самый код в файле .js?

[Dreamka]

По моему скромному мнению кто-то открыл ящик пандорры

[rowaxi]

Картинка вреда не нанесёт — она здесь корректная (времена WMF exploit, надеюсь, прошли). А эксплуатирование её в качестве JS вредоносного скрипта просто чуть удивит того, кто анализирует.

[serjikz]

Осенью 2020 ещё ничего не происходило. Вот нате распишитесь))

[morgot]

Этому «ящику пандоры» сто лет, легального использования не припомню, обычно это делают для осуществления xss-атак.
xakep.ru/2014/04/02/easy-hack-april-2014/#toc06.

[DmitryKoterov]

В свое время делал утилиту для преобразования exe-файла в com-файл для MSDOS, который состоял полностью из ascii-символов (можно было вставить в письмо), но распаковывал себя и запускался. Теперь вот GIF, который на самом деле JS. Времена изменились...

[zuek]

А как быть с ограничением на 64кб? Вроде, .com пытается загрузиться целиком в один сегмент, и если не помещается, то "опа!", а ещё в конце этого сегмента размещает стэк и заполняет его последний байт точкой возврата при завершении...

[morgot]

64кб это очень много для ехе-файла ). Точнее, когда-то было так. Сейчас же, с современными фреймворками и прочими «инновациями» даже хелловорлд на Visual C весит 200кб.

[morgot]

Что поделать, за все надо платить. Впрочем, как я понимаю, вряд ли размер кого-то сейчас волнует. Даже малварь, уж на то специфический софт — и то пишут на go / rust. Иногда попадаются экземпляры по 3-5 метров, причем не за счет какой-то хитрой упаковки — а просто так собрали, без оптимизаций.

[ollisso]

про запуск:
А что если подгрузить картинку как картинку с правильными MIME типами, а дальше, в отдельном скрипте загруженном на той же странице: читаем файл в память, и потом запускаем его через eval.
Конечно, это уже не чистый запуск, но всё же хороший способ скрыть исходный скрипт относительно легко.

[Aquahawk]

habr.com/ru/post/102153
10 лет назад на хабре писали, причём png использован как архиватор

[Tachyon]

Похоже кто-то снова открыл стеганографию

[manarov]

Самое первое, что можно вспомнить, это .bat файл, который переименовывал себя в .com и исполнял, в мохнатых 90-х.

[tyomitch]

.sh-скрипты, которые вытаскивают из своего тела tarball и распаковывают, в ходу до сих пор.