Quiero aprender todo sobre eso. ¿Cómo podemos inyectar código en una imagen? ¿El código debe ser php? ¿O es javascript o HTML funciona también? ¿Cómo encuentro documentación sobre este artículo?
Soy un novato en este tipo de temas. Quiero ser un pentester. Así que todas sus respuestas son muy improtentes para mí. Gracias por ayudar.
P.S: Cuando busco en la web, encontré esto. Pero esto no es trabajo. enlace
Pasar el código malicioso como una imagen depende en gran medida de cómo el sitio web específico verifica las cargas de archivos. Si el sitio web solo está verificando la extensión, por lo que está buscando .jpg en su nombre de archivo, una omisión simple es .jpg.php , por ejemplo. Si el sitio web solo verifica los encabezados, asegúrate de que tu script PHP esté generando encabezados que lo hagan aparecer como si fuera un archivo de imagen. Quieres hacer una búsqueda en Google para "enmascarar php como jpg" o "php shell jpg" para obtener más información.
En cuanto a las ventanas, no demasiado, hay algunas formas que aún funcionan, pero le será difícil conseguir que su objetivo abra los archivos. Por ejemplo, puede cambiar su archivo .exe a un archivo .jpg y crear otro archivo de acceso directo en la misma carpeta. Como objetivo para el acceso directo, pondrías C:WINDOWSsystem32cmd.exe /c whateverexeyourenamed.jpg . Al hacer clic en el acortamiento, a su vez, se ejecutaría el archivo .jpg como .exe , sin embargo, este método es bastante antiguo y mi abuela, si estuviera viva, podría verlo.
Desde que dijiste que querías ser un pentester, mi mejor consejo es que te metas con él. Aloje un servidor php o lo que sea que esté intentando violar, agregue una protección de carga de archivos agradable e intente violarlo. Si por "inyección de javascript" te refieres a "ataque xss", esto es un poco diferente y no tiene nada que ver con las imágenes, si buscas el término en Google, estoy bastante seguro de que lo obtendrás. Si con "inyección de javascript" quiere decir que le muestra una imagen al usuario en el sitio web, eso lo dañará si hace clic en él (elemento simple, claro, pero lo máximo que podría hacer es obtenerlos). Me gusta una página de Facebook aleatoria o algo inútil, y finalmente, si con "inyección de javascript" te refieres a hacer una página que le pida a los usuarios algo y coloque un shell en su computadora, es posible, difícil y muy difícil de usar. de, teniendo en cuenta que el nivel de inteligencia y conocimiento de sus objetivos tiene que ser increíblemente bajo.
Cosas para revisar (escríbelas en google):
Lo siento si me perdí tus preguntas, pero esta es la mejor respuesta que puedo darte considerando tu pregunta. Si está buscando algo específico, puede resaltarlo.
Lea otras preguntas en las etiquetas penetration-test javascript php injection