這兩天，關(guān)于QQ盜號(hào)的安全事件相信大家已經(jīng)聽說(shuō)了。各種各樣的傳言都有，一會(huì)兒數(shù)據(jù)庫(kù)泄露了，一會(huì)兒API漏洞了，一會(huì)兒又是協(xié)議漏洞了，還有的說(shuō)掃描二維碼中招的，一時(shí)間眾說(shuō)紛紜。

在眾多說(shuō)法中，我看到了一個(gè)：只要點(diǎn)擊圖片就會(huì)中招！

好家伙，點(diǎn)圖片就能中招，這可厲害了，要是對(duì)方發(fā)來(lái)一些誘惑的圖片，年輕人把持不住那可咋整？

真有那么懸乎嗎？

這不禁讓我想起了幾年前的一個(gè)漏洞，也是圖片相關(guān)的，分享給大家看看。

那次漏洞的主角，是ImageMagick。

漏洞介紹

漏洞名稱：Imagemagick 命令注入漏洞（CVE-2016-3714）

漏洞定級(jí)：高危

漏洞描述：ImageMagick 在處理惡意構(gòu)造的圖片文件時(shí)，對(duì)于文件中的 URL 未經(jīng)嚴(yán)格過(guò)濾，可導(dǎo)致命令注入漏洞。通過(guò)命令注入漏洞，黑客可以在服務(wù)器上執(zhí)行任意系統(tǒng)命令，獲取服務(wù)器權(quán)限。

影響范圍：ImageMagick 6.9.3-9本身及以前所有版本

漏洞原理

ImageMagick是一款使用量很廣的圖片處理程序，很多廠商都調(diào)用了這個(gè)程序進(jìn)行圖片處理，包括圖片的伸縮、切割、水印、格式轉(zhuǎn)換等等。

但有研究者發(fā)現(xiàn)，當(dāng)用戶傳入一個(gè)包含『畸形內(nèi)容』的圖片的時(shí)候，就有可能觸發(fā)命令注入漏洞。

國(guó)外的安全人員為此新建了一個(gè)網(wǎng)站：https://imagetragick.com/

與這個(gè)漏洞相關(guān)的CVE有CVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717，

其中最嚴(yán)重的就是CVE-2016-3714，利用這個(gè)漏洞可以造成遠(yuǎn)程命令執(zhí)行的危害。

ImageMagick有一個(gè)功能叫做delegate（委托），作用是調(diào)用外部的lib來(lái)處理文件。而調(diào)用外部lib的過(guò)程是使用系統(tǒng)的system命令來(lái)執(zhí)行的

參考代碼：https://github.com/ImageMagick/ImageMagick/blob/e93e339c0a44cec16c08d78241f7aa3754485004/MagickCore/delegate.c#L347

我們?cè)贗mageMagick的默認(rèn)配置文件里可以看到所有的委托：/etc/ImageMagick/delegates.xml漏洞報(bào)告中給出的POC是利用了如下的這個(gè)委托：

它在解析https圖片的時(shí)候，使用了curl命令將其下載，我們看到%M被直接放在curl的最后一個(gè)參數(shù)內(nèi)。

ImageMagick默認(rèn)支持一種圖片格式，叫mvg，而mvg與svg格式類似，其中是以文本形式寫入矢量圖的內(nèi)容，而這其中就可以包含https處理過(guò)程。

所以我們可以構(gòu)造一個(gè).mvg格式的圖片（但文件名可以不為.mvg，比如下圖中包含payload的文件的文件名為vul.gif，而ImageMagick會(huì)根據(jù)其內(nèi)容識(shí)別為mvg圖片），并在https://后面閉合雙引號(hào)，寫入自己要執(zhí)行的命令：

push?graphic-context
viewbox?0?0?640?480
fill?‘url(https://"|id;?")’
pop?graphic-context

這樣，ImageMagick在正常執(zhí)行圖片轉(zhuǎn)換、處理的時(shí)候就會(huì)觸發(fā)漏洞。

漏洞復(fù)現(xiàn)

搭建靶機(jī)，教程：https://github.com/vulhub/vulhub/tree/master/imagemagick/imagetragick

下載vulhub：git clone https://github.com/vulhub/vulhub/tree/master/imagemagick/imagetragick

進(jìn)入目錄：cd /vulhub-master/imagemagick/imagetragick

啟動(dòng)docker:docker-compose up -d 注意 我靶機(jī) docker-compose.yml中端口為8888

訪問(wèn)搭建的靶機(jī)ip:8888

上傳poc，新建一個(gè)txt文件，內(nèi)容為：

push?graphic-context
viewbox?0?0?640?480
fill?'url(https://"|id;?")'
pop?graphic-context

將文件保存為poc.gif

上次poc.gif，點(diǎn)擊提交，成功執(zhí)行：

這年頭，除了鏈接，圖片也不敢隨便亂點(diǎn)了···

編輯：黃飛

?