一、什么是图片二次渲染
图片二次渲染 用于:防止图片马上传含有恶意代码的文件。
当我们上传一张 .jpg/.png/.gif 后缀的图片时,网页上显示的并不是我们原先上传的图片,而是经过后台加工过的图片,这张图片会修改原图的某些部分,当然我们的肉眼是看不出来的,通过修改原图,将原图中插有的恶意代码进行覆盖,这就是 图片二次渲染。
二、代码审计
三、通关操作
1、想要php代码不被二次渲染覆盖,就要找出原图不会被二次渲染的区域,这就要比较原图和选然后的图片,首先上传原图 test.gif,上传成功后另存为二次渲染后的图片。
2、比较未被渲染的区域,需要用到工具 010editor,联想应用商店里可直接下载。
在未被渲染的区域插入 php 代码,制作成了一张不会受到二次渲染影响的图片马。
3、上传图片马,复制图片地址,在include.php中打开,发现代码成功执行。
---通关。
