欢迎您访问 最编程 本站为您分享编程语言代码,编程技术文章!

热门搜索/Hot Search

您现在的位置是: 首页

ImageMagick 命令注入漏洞 (CVE-2016-3714) 修复说明

最编程 2024-07-14 16:54:52
...

学习资料

https://www.cnblogs.com/bmjoker/p/9898590.html
https://www.leavesongs.com/PENETRATION/CVE-2016-3714-ImageMagick.html

漏洞原理

ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。

但有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。

国外的安全人员为此新建了一个网站: https://imagetragick.com/

与这个漏洞相关的CVE有CVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717,

其中最严重的就是CVE-2016-3714,利用这个漏洞可以造成远程命令执行的危害。
ImageMagick有一个功能叫做delegate(委托),作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行的( https://github.com/ImageMagick/ImageMagick/blob/e93e339c0a44cec16c08d78241f7aa3754485004/MagickCore/delegate.c#L347 )

我们在ImageMagick的默认配置文件里可以看到所有的委托: /etc/ImageMagick/delegates.xml
漏洞报告中给出的POC是利用了如下的这个委托:

<delegate decode="https" command="&quot;curl&quot; -s -k -o &quot;%o&quot; &quot;https:%M&quot;"/>

它在解析https图片的时候,使用了curl命令将其下载,我们看到%M被直接放在curl的最后一个参数内。ImageMagick默认支持一种图片格式,叫mvg,而mvg与svg格式类似,其中是以文本形式写入矢量图的内容,而这其中就可以包含https处理过程。

所以我们可以构造一个.mvg格式的图片(但文件名可以不为.mvg,比如下图中包含payload的文件的文件名为vul.gif,而ImageMagick会根据其内容识别为mvg图片),并在https://后面闭合双引号,写入自己要执行的命令:

push graphic-context
viewbox 0 0 640 480
fill ‘url(https://"|id; ")’
pop graphic-context
这样,ImageMagick在正常执行图片转换、处理的时候就会触发漏洞。

漏洞介绍

漏洞名称:Imagemagick 命令注入漏洞(CVE-2016-3714)
漏洞定级:高 危
漏洞描述: ImageMagick 在处理恶意构造的图片文件时,对于文件中的 URL 未经严格过滤,可导致命令注入漏洞。通过命令注入漏洞,黑客可以在服务器上执行任意系统命令,获取服务器权限。
影响范围:
ImageMagick 6.9.3-9本身及以前所有版本

漏洞自查

在 /etc/ImageMagick/delegates.xml文件中存在如下配置:

<delegate decode="https" command="&quot;curl&quot; -s -k -o &quot;%o&quot; &quot;https:%M&quot;"/>

漏洞复现

  • 搭建靶机,教程:https://github.com/vulhub/vulhub/tree/master/imagemagick/imagetragick
  • 下载vulhub:git clone https://github.com/vulhub/vulhub/tree/master/imagemagick/imagetragick
  • 进入目录:cd /vulhub-master/imagemagick/imagetragick
  • 启动docker:docker-compose up -d
    注意 我靶机 docker-compose.yml中端口为8888
  • 访问搭建的靶机ip:8888
    在这里插入图片描述
  • 上传poc,新建一个txt文件,内容为:
push graphic-context
viewbox 0 0 640 480
fill 'url(https://"|id; ")'
pop graphic-context

将文件保存为poc.gif
在这里插入图片描述
上次poc.gif,点击提交,成功执行:
在这里插入图片描述

漏洞修复

1、升级Imagemagick到最新版
2、使用policy file来防御这个漏洞, 位置/etc/ImageMagick/policy.xml ,通过配置如下的xml来禁止解析https等敏感操作:

<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
  <policy domain="coder" rights="none" pattern="TEXT" />
  <policy domain="coder" rights="none" pattern="SHOW" />
  <policy domain="coder" rights="none" pattern="WIN" />
  <policy domain="coder" rights="none" pattern="PLT" />
</policymap>

上一篇: java 代码审计命令注入和修复建议

下一篇: 物联网入门 --------- 首次 cve 复制(CVE-2020-24581 D-Link DSL-2888A 远程命令执行漏洞分析)

推荐阅读