MetaInjector

MetaInjector 是一款通过向图像元数据中注入恶意负载（如 XSS、SQL 注入、远程代码执行等）来测试安全性的工具。该工具支持 JPEG、PNG 和 SVG 等图像格式，它提供了使用 Base64 或 URL 标记加密负载以绕过某些安全过滤器的选项。

功能

1. 1. 多种负载注入：支持常见的负载，如 XSS、SQL 注入、命令注入、RCE、LFI 等。
2. 2. 图像格式支持：支持 JPEG、PNG 和 SVG 图像。
3. 3. 元数据显示和分析：显示注入前后的图像元数据，以便于验证更改。
4. 4. 负载编码：支持使用 Base64 和 URL 编码对负载进行编码。

要求

要运行该工具，请确保您具有以下条件：

• • Python 3.6 或更高版本
• • 以下 Python 库：
• • Pillow - 用于图像处理
• • piexif - 用于 EXIF 元数据操作
• • xml.etree.ElementTree - 用于编辑 SVG 文件 您可以使用 pip 安装所需的库：

pip install Pillow piexif

使用

步骤： 运行程序：通过运行以下命令启动该工具：

python metainjector.py

• • 输入图像路径：启动程序后，系统将提示您输入要注入的图像的路径。
• • 选择有效载荷：选择要注入的有效载荷类型。您可以从可用的有效载荷中选择，也可以输入自定义有效载荷。
• • 选择有效载荷编码：您可以选择使用 Base64 或 URL 编码对有效载荷进行编码，也可以继续使用原始有效载荷。
• • 结果：注入有效载荷后，将保存修改后的图像，并显示元数据以供验证。

示例：

输入图像文件的路径（JPEG、PNG 或 SVG）：/path/to/image.jpg选择要注入的有效载荷类型：1. XSS2. SQL 注入3.远程代码执行4.命令注入5.本地文件包含(LFI)6.远程文件包含(RFI)7.缓冲区溢出输入有效载荷类型的编号（1-7）或自定义有效载荷的“自定义”：1是否要对有效载荷进行编码？（y/n）：y选择编码方法：1.Base64编码2. URL 编码输入编码方法（1-2）：1有效载荷注入并保存到 modified_image.jpg

项目地址

1. 1. 【仓库】https://github.com/masa42/CVE-2024-38819-POC

原文始发于微信公众号（埋藏酱油瓶）：【开源工具】-图像恶意负载注入 MetaInjector