La tecnica che vi andrò a mostrare oggi non è solo affascinante ed interessante ma potrebbe anche essere utilizzata per scopi malevoli, quindi ricordo a tutti che questo articolo è come sempre solo a scopo informativo. Jhead è un tool che ci permetterà di inserire del codice nelle immagini ed è disponibile per Windows, Linux e Mac.

I più aguzzi avranno già capito il potenziale di questa tecnica: uppare una shell php contenuta in una semplice immagine in un qualche servizio online vulnerabile potrebbe essere devastante ma non è argomento di questa guida ;)

Potete utilizzare Jhead anche per mandare messaggi segreti ai vostri amici (tecnica chiamata steganografia, potete trovare tre videotutorial in questo articolo)

Chi possiede ubuntu può installare facilmente jhead con un semplice:

sudo apt-get install jhead

mentre per altre versioni di Linux, per sistemi Windows e Mac trovate il link in fondo all’articolo. Il software non presenta interfaccia grafica, quindi dovrete fare tutto da terminale o dal prompt dei comandi di DOS.

Ora prendete un’immagine e lanciate il seguente comando:

jhead immagine.jpg

vi verrà restituita una serie di informazioni, ad esempio:

File name    : tanino.jpg
File size    : 39131 bytes
File date    : 2010:01:10 12:32:18
Resolution   : 453 x 604
Comment      : CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 85

Ecco, noi dovremo andare la stringa relativa al commento inserendo il nostro codice o il nostro messaggio segreto. Digitate:

jhead -ce immagine.jpg

Vi si aprirà un editor (vim per Linux o Ubuntu, blocco notes per Windows). Scrivete il vostro messaggio e salvate.

Adesso l’immagine conterrà del codice, qualsiasi cosa voi vogliate inserire. Se qualcuno vi manda questo messaggio provate ad estrarlo e leggerlo, da terminale scrivete:

cat immagine.jpg

ed avrete il mio messaggio nascosto: “ciao a tutti, questo è un messaggio segreto“! Interessante non credete? :)