MetaInjector
MetaInjector 是一款通过向图像元数据中注入恶意负载(如 XSS、SQL 注入、远程代码执行等)来测试安全性的工具。该工具支持 JPEG、PNG 和 SVG 等图像格式,它提供了使用 Base64 或 URL 标记加密负载以绕过某些安全过滤器的选项。
功能
-
1. 多种负载注入:支持常见的负载,如 XSS、SQL 注入、命令注入、RCE、LFI 等。 -
2. 图像格式支持:支持 JPEG、PNG 和 SVG 图像。 -
3. 元数据显示和分析:显示注入前后的图像元数据,以便于验证更改。 -
4. 负载编码:支持使用 Base64 和 URL 编码对负载进行编码。
要求
要运行该工具,请确保您具有以下条件:
-
• Python 3.6 或更高版本 -
• 以下 Python 库: -
• Pillow - 用于图像处理 -
• piexif - 用于 EXIF 元数据操作 -
• xml.etree.ElementTree - 用于编辑 SVG 文件 您可以使用 pip 安装所需的库:
pip install Pillow piexif
使用
步骤: 运行程序:通过运行以下命令启动该工具:
python metainjector.py
-
• 输入图像路径:启动程序后,系统将提示您输入要注入的图像的路径。 -
• 选择有效载荷:选择要注入的有效载荷类型。您可以从可用的有效载荷中选择,也可以输入自定义有效载荷。 -
• 选择有效载荷编码:您可以选择使用 Base64 或 URL 编码对有效载荷进行编码,也可以继续使用原始有效载荷。 -
• 结果:注入有效载荷后,将保存修改后的图像,并显示元数据以供验证。
示例:
输入图像文件的路径(JPEG、PNG 或 SVG):/path/to/image.jpg选择要注入的有效载荷类型:1. XSS2. SQL 注入3.远程代码执行4.命令注入5.本地文件包含(LFI)6.远程文件包含(RFI)7.缓冲区溢出输入有效载荷类型的编号(1-7)或自定义有效载荷的“自定义”:1是否要对有效载荷进行编码?(y/n):y选择编码方法:1.Base64编码2. URL 编码输入编码方法(1-2):1有效载荷注入并保存到 modified_image.jpg
项目地址
-
1. 【仓库】https://github.com/masa42/CVE-2024-38819-POC
原文始发于微信公众号(埋藏酱油瓶):【开源工具】-图像恶意负载注入 MetaInjector
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论