Hace un par de días me preguntaron si seria posible meter una webshell escondida en una imagen.

Es posible hacerlo con PHP y existen 2 formas, la especial doble con queso y la sencilla =).

En la especial doble con queso.
La mejor forma seria si ya tiene acceso root al servidor y se quiere accesar de vez en cuando pero sin comprometer a ser descubiertos…., seria modificar sigilosamente el archivo httpd.conf del apache y escribirle un mime type como este

AddType application/x-httpd-php .jpg .gif

Esto permitiría que archivos con extensión jpg o gif pudieran ejecutar código php y haría prácticamente irrastreable el webshell o código troyano en el servidor, ya que a la vista de los logs se trata de una simple imagen, si se le envían parámetros por POST seria mas difícil aun que en los logs quede registrado algo que delate la presencia de ese troyano PHP

La forma sencilla

Es conformarse con solo usar la extensión .php ya que no podemos reconfigurar el apache para dejarnos ejecutar php dentro de otras extensiones de archivo

¿Y que código PHP debe usarse?

Es muy simple, básicamente es una condición if y codificar a base64 una imagen para que sea la que desplegara el navegador y cuando la condición se cumpla, sea por método GET o POST ejecutar el código PHP.

Para este ejemplo voy a usar una foto que tome de las famosas 2 LUNAS, que a mi gusto no es más que la luna y un planeta bríllate, pero finalmente un pequeño punto de luz nunca comparable a otra luna. ( Gente ingenua que se deja engañar )

Ver mas grande

URL de la imagen https://www.lastdragon.net/misarchivos/doslunas/doslunas.php

Si le pasamos un parámetro en método GET, por ejemplo ?parametro=1 entonces ejecuta otra cosa que no es la imagen.

https://www.lastdragon.net/misarchivos/doslunas/doslunas.php?parametro=1

El código de este PHP doslunas.tar.gz