【开源工具】-图像恶意负载注入 MetaInjector

admin 2024年12月27日13:41:54评论13 views字数 968阅读3分13秒阅读模式

MetaInjector

MetaInjector 是一款通过向图像元数据中注入恶意负载(如 XSS、SQL 注入、远程代码执行等)来测试安全性的工具。该工具支持 JPEG、PNG 和 SVG 等图像格式,它提供了使用 Base64 或 URL 标记加密负载以绕过某些安全过滤器的选项。

【开源工具】-图像恶意负载注入 MetaInjector

功能

  1. 1. 多种负载注入:支持常见的负载,如 XSS、SQL 注入、命令注入、RCE、LFI 等。
  2. 2. 图像格式支持:支持 JPEG、PNG 和 SVG 图像。
  3. 3. 元数据显示和分析:显示注入前后的图像元数据,以便于验证更改。
  4. 4. 负载编码:支持使用 Base64 和 URL 编码对负载进行编码。

要求

要运行该工具,请确保您具有以下条件:

  • • Python 3.6 或更高版本
  • • 以下 Python 库:
  • • Pillow - 用于图像处理
  • • piexif - 用于 EXIF 元数据操作
  • • xml.etree.ElementTree - 用于编辑 SVG 文件 您可以使用 pip 安装所需的库:
pip install Pillow piexif

使用

步骤: 运行程序:通过运行以下命令启动该工具:

python metainjector.py
  • • 输入图像路径:启动程序后,系统将提示您输入要注入的图像的路径。
  • • 选择有效载荷:选择要注入的有效载荷类型。您可以从可用的有效载荷中选择,也可以输入自定义有效载荷。
  • • 选择有效载荷编码:您可以选择使用 Base64 或 URL 编码对有效载荷进行编码,也可以继续使用原始有效载荷。
  • • 结果:注入有效载荷后,将保存修改后的图像,并显示元数据以供验证。

示例:

输入图像文件的路径(JPEG、PNG 或 SVG):/path/to/image.jpg选择要注入的有效载荷类型:1. XSS2. SQL 注入3.远程代码执行4.命令注入5.本地文件包含(LFI)6.远程文件包含(RFI)7.缓冲区溢出输入有效载荷类型的编号(1-7)或自定义有效载荷的“自定义”:1是否要对有效载荷进行编码?(y/n):y选择编码方法:1.Base64编码2. URL 编码输入编码方法(1-2):1有效载荷注入并保存到 modified_image.jpg

项目地址

  1. 1. 【仓库】https://github.com/masa42/CVE-2024-38819-POC

原文始发于微信公众号(埋藏酱油瓶):【开源工具】-图像恶意负载注入 MetaInjector

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月27日13:41:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【开源工具】-图像恶意负载注入 MetaInjectorhttp://cn-sec.com/archives/3560907.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息