امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

PixLoad چیست؟ تزریق کد مخرب در تصاویر

ابزار Pixload یکی از ابزار های پیشرفته در‌ حوزه تست نفوذ میباشد که به واسطه آن توانایی ساخت و تزریق Payload های مخرب را به سمت فایل های تصویری با فرمت های متنوع را داریم‌. این ابزار توانایی ایجاد فایل Polyglot را برای ما دارد که به واسطه آن میتوانیم مکانیزم های امنيتي خاصی مانند CSP را دور بزنیم و از این بابت این ابزار در فرآیند های تست نفوذ وب بسیار پرکاربرد میباشد زیرا به واسطه آن میتوانیم فایل هارا بر روی سرور وب سایت مورد نظر آپلود کنیم و با اجرا کردن آن فایل دسترسي مورد نظرمان را از سمت سیستم مقابل ویا سرور وب سایت مقابل به دست بیاوریم از این رو PixLoad سازگاری بسیار خوبی با اکثر مرورگرهای وب مانند Safari و IE و Edge و Firefox و دیگر مرورگر های مطرح دنیا دارد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

فایل های Polyglot چیست؟

درواقع در حوزه کامپیوتر به فایل های که با فرمت های متنوع و زبان های برنامه نویسی مختلف نوشته‌ میشوند و درکنار هم قرار میگیرند فایل های Polyglot میگویند.

ویژگی های PixLoad چیست؟

  • دور زدن مکانیزم امنیتی CSP به واسطه JPEG Polyglot
  • رمزنگاری Web Shell در فایل های PNG IDAT
  • قرار دادن XSS Payload در فایل های PNG و IDAT
  • توانایی ایجاد فایل های تصاویر مخرب با فرمت های متنوع
  • توانایی ایجاد فایل های Polyglot

نحوه نصب و راه اندازی PixLoad چگونه است؟

برای اینکار ابتدا آن را از GitHub آن دانلود میکنیم پس از دانلود و Clone کردن فایل PixLoad از GitHub

$ git clone https://github.com/chinarulezzz/pixload.git

 PixLoad چیست؟ تزریق کد مخرب در تصاویر

همچنین از دستور زیر برای نصب پیش نیازات آن استفاده میکنیم:

$ sudo apt install libgd-perl libimage-exiftool-perl libstring-crc32-perl

 PixLoad چیست؟ تزریق کد مخرب در تصاویر

نحوه بکارگيري PixLoad برای ساخت تصاویر مخرب

شما میتوانید از Payload های Default خوده PixLoad نیز استفاده کنید که ما در این آموزش از PixLoad و همچنین در قسمت پایین هر تصویر نحوه وارد کردن Payload را نیز قرار میدهیم از این مباحث که بگذریم باید برویم سراغ اصل مطلب که نحوه ساخت Payload مخرب در قالب تصویر میباشد برای اینکار کافی است وارد دایرکتوری مربوط به PixLoad شوید و براساس نیازتان و فایل فرمت مورد نظرتان شروع به ایجاد تصاوير کنید، برای مثال:

ساخت BMP Payload

$ ./bmp.pl [-payload 'STRING'] -output payload.bmp 

 PixLoad چیست؟ تزریق کد مخرب در تصاویر

ساخت فایل GIF Payload

$ ./gif.pl [-payload 'STRING'] -output payload.gif

 PixLoad چیست؟ تزریق کد مخرب در تصاویر

ساخت فایل JPG Payload

  • بخش 1: تزریق در بخش Comment
$ ./jpg.pl -place COM -output payload.jpg

 PixLoad چیست؟ تزریق کد مخرب در تصاویر

  • بخش 2: تزریق در DQT Table
$ ./jpg.pl -place DQT -output payload.jpg

 PixLoad چیست؟ تزریق کد مخرب در تصاویر

ساخت فایل PNG Payload:

$ ./png.pl [-payload 'STRING'] -output payload.png

 PixLoad چیست؟ تزریق کد مخرب در تصاویر


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

06 تیر 1400 این مطلب را ارسال کرده

نظرات