Exif 隐写术

Exif 隐写术
Exif Smuggling (2025)

原始链接: https://github.com/signalblur/exifsmugglingpoc

这是缓存走私（Cache Smuggling）的一种概念验证演变。该攻击将可执行载荷隐藏在 JPG 的 Exif 数据中。因此，图像缓存（如网页浏览器缓存）可被用于被动下载该载荷。这样一来，示例加载器（chrome_poc.ps1）无需发起任何互联网请求即可获取第二阶段载荷，而是直接从 Chrome 浏览器的缓存中提取。详细信息请参阅：https://malwaretech.com/2025/10/exif-smuggling 将 PowerShell 加载器转换为 ClickFix 命令： python3 build_clickfix_cmd.py --input-file chrome_poc.ps1 --output-file encoded_command.txt --fake-path "C:\test\doc.txt" 将载荷 DLL 嵌入任意 JPG 文件中： python3 exif_smuggling.py --input-file image.jpg --output-file payload.jpg --payload hello_world.dll www/index.html

这篇 Hacker News 的讨论聚焦于“Exif 隐写术”（Exif Smuggling），这是一种将恶意代码隐藏在图像元数据中的技术。评论者指出，将数据隐藏在图片中并非新概念，并引用了“GIFAR”文件等历史先例——即利用 Java 浏览器插件的多语种文件。讨论还强调了围绕 EXIF 数据产生的隐私与安全矛盾。尽管摄影师对丢失相机设置和镜头信息等技术细节感到惋惜，但许多平台现在都会自动剥离 EXIF 数据。用户认为，这是防止意外泄露精确 GPS 坐标等敏感信息（可能导致用户位置暴露）的必要安全措施。该帖总结称，虽然删除元数据对保护隐私至关重要，但开发人员必须谨慎保留诸如方向和色彩空间设置等功能性数据，以确保图像在网页上能正确显示。

A Proof-of-Concept evolution of Cache Smuggling. This attack conceals an executable payload inside a JPG's Exif data. As a result, image caching (such as that of a Web Browser) can be used to passively download the payload.

As a result, the example loader (chrome_poc.ps1) does not need to make any internet requests to fetch the second stage payload. Instead, it simply extracts it from the Chrome browser's cache.

For full details see: https://malwaretech.com/2025/10/exif-smuggling

Convert PowerShell Loader to ClickFix Command

python3 build_clickfix_cmd.py --input-file chrome_poc.ps1 --output-file encoded_command.txt --fake-path "C:\test\doc.txt"

Embed payload dll inside arbitrary JPG

python3 exif_smuggling.py --input-file image.jpg --output-file payload.jpg --payload hello_world.dll

www/index.html

Exif 隐写术 Exif Smuggling (2025)

Convert PowerShell Loader to ClickFix Command

Embed payload dll inside arbitrary JPG

Exif 隐写术
Exif Smuggling (2025)