发现图片里含有一句话木马，含有木马的图片到底是怎么运行的

IIS6.0 的解析漏洞 ：1.jpg%00.php 1.asp;.jpg 1.asp/1.jpg
IIS 7.0/IIS 7.5/ Nginx <8.03 畸形解析 1.jpg/.php
Nginx <8.03 空字节代码执行漏洞 1.jpg%00.php
Apache 解析漏洞 .php.一个无效后缀
还有就是 Windows 下的各种截断了，因为 win 环境下不允许一些符号命名文件，所以可以造成截断文件名的效果，不过恕我直言，用 Windows 当服务器就是 sb...

楼主学艺技能不错

因为存在解析漏洞

@Va1n3R @wooyuntest 解析漏洞都不存在呢

@zoneself 你的思路错了，他上传那个文件不是因为你有这个漏洞，而是在试你是否有这个漏洞。

场景可能这样。有人想 getshell，可能是想试试有没有上传漏洞，然后在传的时候直接怼了目前的“图片”（新手来的），然后可能没绕成功就直接把图片怼上去了………还有一种可能就是大家说的解析漏洞，他可能发现你这里有解析漏洞然后直接干（不过楼主说没有解析漏洞那应该是前者吧）………建议楼主查一下日志，看看是哪里有未授权访问到上传功能还是说有注入被打进后台又或者有弱口令等等………查日志吧大兄弟………声明一下我在某安全公司做渗透，正规工作，请某些人不要打扰我谢谢！

@zoneself 不存在就不存在呗，不试试怎么有没有漏洞，攻击者可能只是测试下而已啊，看日志吧。有没有访问这个图片的

A.jpg;.php 经典的 iis6 解析楼顶。

要是运行成功了，楼主你还笑呵呵在论坛上和人聊天？怕不是早就在备份数据重装系统了。

@MOmc 就是传说中的黑客吧，好怕怕……
@Va1n3R 嗯 准备找那个时间段的日志分析下
@Soar360 漏洞不存在啦，我尝试了
@msg7086 要是运行成功了，我就呵呵了，卷铺盖走人了

@zoneself 现在没人用 IIS6 吧,大家的意思是让你排查类似的解析漏洞。微醺..

@mingzu 嗯嗯，了解了，谢谢你，也谢谢各位大佬！

首先，图片马是配合解析漏洞或者文件包含才能正常执行。
其次，解析漏洞存在于 apache，iis，Nginx 各个版本（指的是以前的版本）。
然后，这里的文件包含指的是本地包含。
最后，楼主本地 include 线上的图片，要执行也是在本地执行，而不是线上，所以不会对线上有影响。本地测试解析漏洞可以去修改 apache 的配置文件。

说到底所有的方法都是为了让这个图片文件解析成 php 脚本文件。

@zoneself 不是不是，大佬我删评论了…